Login

#1 (**permalink**) 16-11-2008, 19:18

Hallo php-resource community!

Folgendes:
Habe ein kleines Login-System mit Sessions.
Da ich kein PHP-Profi bin wäre es toll wenn ihr mal einen Blick drauf werfen würdet ob das auch sicher ist

Am Anfang jeder Datei die nur der eingeloggte User sehen soll steht

PHP-Code:


			
<?PHP include("access.php"); ?>

Access.php:

PHP-Code:


			
<?PHP



if(!isset($_SESSION['admin']))

    {

    header("location: index.php");

    exit;

    }



?>

Auf der index.php befindet sich das Login-Formular. Wenn man also nicht eingeloggt ist wird man dahin geleitet.

Das Login-Formular sieht folgendermaßen aus:

Code:

<form action="login.php" method="post">
<input type="text" size="12" maxlength="50" name="username" />
<input type="password" size="12" maxlength="50" name="password" />
<input type="submit" value="Login">
</form>

in der login.php sieht's so aus:

PHP-Code:


			
<?PHP



session_start();



$user = $_POST["username"];

$pw = $_POST["password"];



include("_admin.php");



if ($user == $username && md5($pw) == $password)

    {

    $_SESSION['admin'] = "$user";

    header("location: admincenter.php");

    }

else

    {

    header("location: index.php");

    }



?>

und wie man unschwer erkennen kann befinden sich die Info's (username und password) in der _admin.php

Gibt's da irgendwelche Lücken?^^

MfG
Schiller

#2 (**permalink**) 16-11-2008, 19:36

wie werden denn $username und $password definiert?

peter

#3 (**permalink**) 16-11-2008, 19:52

meinst du das?:

PHP-Code:


			
$username = "admin";

$password = "098f6bcd4621d373cade4e832627b4f6";

#4 (**permalink**) 16-11-2008, 20:37

Username admin und Passwort test sind per se unsicher.
Im Location-Header sollte man eine absolute URL angeben.
Was machst du da eigentlich mit $log?

#5 (**permalink**) 17-11-2008, 16:31

Zitat:

Original geschrieben von onemorenerd
Username admin und Passwort test sind per se unsicher.

$log nich beachten.. kommt raus

#6 (**permalink**) 17-11-2008, 19:44

Naja, wenn du ein genügend langes Passwort nimmst mit genügend verschiedenen Zeichen schadet es nicht gross, wenn du admin als Benuzernamen nimmst, aber wenn du dann auch noch ein Passwort wie hier mit nur 4 Buchstaben verwendest, dann wird es einfach zu cracken sein.

#7 (**permalink**) 18-11-2008, 18:30

Zitat:

Original geschrieben von jmc
Naja, wenn du ein genügend langes Passwort nimmst mit genügend verschiedenen Zeichen schadet es nicht gross, wenn du admin als Benuzernamen nimmst, aber wenn du dann auch noch ein Passwort wie hier mit nur 4 Buchstaben verwendest, dann wird es einfach zu cracken sein.

Ja natürlich nehm ich ein langes Passwort und einen individuellen Benutzernamen

Und das Script an sich is in Ordnung?

#8 (**permalink**) 18-11-2008, 20:49

Jop, sonst ist schon ziemlich sicher.

#9 (**permalink**) 18-11-2008, 20:51

Zitat:

Original geschrieben von jmc
Jop, sonst ist schon ziemlich sicher.

das ist gut, danke

#10 (**permalink**) 18-11-2008, 21:30

Zitat:

Original geschrieben von SCHiLLER

PHP-Code:


			
<?PHP



if(!isset($_SESSION['admin']))

    {

    header("location: index.php");

    exit;

    }



?>

----------------------------------------------------------------------

<?PHP



session_start();



$user = $_POST["username"];

$pw = $_POST["password"];



include("_admin.php");



if ($user == $username && md5($pw) == $password)

    {

    $_SESSION['admin'] = "$user";

    header("location: admincenter.php");

    }

else

    {

    header("location: index.php");

    }



?>

Hallo Schiller,

exit; kannst du weglassen, wird eh nicht ausgeführt

PHP-Code:


			
$user = $_POST["username"];

$pw = $_POST["password"];

// ^^ ist ebenfalls überflüssig

//kannst das auch so lösen

//eventuell vorher auch überprüfen ob überhaupt der login button angeklickt wurde

if($_POST['username'] == $username && md5($_POST['passwort']) == $passwort) {

//mach dies, tue jenes

}



$_SESSION['admin'] = "$user";

//"$user"

// ^^die Anführungsstriche gehören da nicht hin

vg
gourmet

#11 (**permalink**) 18-11-2008, 21:52

Zitat:

exit; kannst du weglassen, wird eh nicht ausgeführt

Ist das so? Ich wäre mir da nicht so sicher!

#12 (**permalink**) 18-11-2008, 23:50

Ich finde exit nach einen header('Location...') sehr gesund. So kann man sicher sein, dass das Script an der Stelle abbricht. Alles andere wäre Unsinn.

#13 (**permalink**) 19-11-2008, 17:40

ja habt recht, ich habe mich nochmal dazu belesen, ein exit; ist nicht verkehrt, ist mir noch nie so aufgefallen das da noch etwas passiert nach dem header()

vg
gourmet

#14 (**permalink**) 22-11-2008, 06:19

Zitat:

Original geschrieben von gourmet
ja habt recht, ich habe mich nochmal dazu belesen, ein exit; ist nicht verkehrt, ist mir noch nie so aufgefallen das da noch etwas passiert nach dem header()

vg
gourmet

Macht ja nichts gourmet! Wir haben hier alle schon mal was neues gelesen!