| PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks. |
 |
16-11-2008, 19:18
|
|
SCHiLLER
Newbie
|
|
Registriert seit: Nov 2008
Ort: 127.0.0.1
Beiträge: 8
|
|
Login Sicherheit
Hallo php-resource community!
Folgendes:
Habe ein kleines Login-System mit Sessions.
Da ich kein PHP-Profi bin wäre es toll wenn ihr mal einen Blick drauf werfen würdet ob das auch sicher ist 
Am Anfang jeder Datei die nur der eingeloggte User sehen soll steht
PHP-Code:
<?PHP include("access.php"); ?>
Access.php:
PHP-Code:
<?PHP
if(!isset($_SESSION['admin']))
{
header("location: index.php");
exit;
}
?>
Auf der index.php befindet sich das Login-Formular. Wenn man also nicht eingeloggt ist wird man dahin geleitet.
Das Login-Formular sieht folgendermaßen aus:
Code:
<form action="login.php" method="post">
<input type="text" size="12" maxlength="50" name="username" />
<input type="password" size="12" maxlength="50" name="password" />
<input type="submit" value="Login">
</form>
in der login.php sieht's so aus:
PHP-Code:
<?PHP
session_start();
$user = $_POST["username"];
$pw = $_POST["password"];
include("_admin.php");
if ($user == $username && md5($pw) == $password)
{
$_SESSION['admin'] = "$user";
header("location: admincenter.php");
}
else
{
header("location: index.php");
}
?>
und wie man unschwer erkennen kann befinden sich die Info's (username und password) in der _admin.php
Gibt's da irgendwelche Lücken?^^
MfG
Schiller
Geändert von SCHiLLER (18-11-2008 um 20:50 Uhr)
|
16-11-2008, 19:36
|
Kropff
 Administrator
|
|
Registriert seit: Mar 2002
Ort: Köln
Beiträge: 11.722
|
|
wie werden denn $username und $password definiert?
peter
__________________
Nukular, das Wort ist N-u-k-u-l-a-r (Homer Simpson)
Meine Seite
|
16-11-2008, 19:52
|
|
SCHiLLER
Newbie
|
|
Registriert seit: Nov 2008
Ort: 127.0.0.1
Beiträge: 8
|
|
meinst du das?:
PHP-Code:
$username = "admin";
$password = "098f6bcd4621d373cade4e832627b4f6";
|
16-11-2008, 20:37
|
 |
onemorenerd
Moderator
|
|
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
|
|
Username admin und Passwort test sind per se unsicher.
Im Location-Header sollte man eine absolute URL angeben.
Was machst du da eigentlich mit $log?
|
17-11-2008, 16:31
|
|
SCHiLLER
Newbie
|
|
Registriert seit: Nov 2008
Ort: 127.0.0.1
Beiträge: 8
|
|
Zitat:
Original geschrieben von onemorenerd
Username admin und Passwort test sind per se unsicher.
|
$log nich beachten.. kommt raus
|
17-11-2008, 19:44
|
|
jmc
PHP Junior
|
|
Registriert seit: Mar 2006
Beiträge: 868
|
|
Naja, wenn du ein genügend langes Passwort nimmst mit genügend verschiedenen Zeichen schadet es nicht gross, wenn du admin als Benuzernamen nimmst, aber wenn du dann auch noch ein Passwort wie hier mit nur 4 Buchstaben verwendest, dann wird es einfach zu cracken sein.
|
18-11-2008, 18:30
|
|
SCHiLLER
Newbie
|
|
Registriert seit: Nov 2008
Ort: 127.0.0.1
Beiträge: 8
|
|
Zitat:
Original geschrieben von jmc
Naja, wenn du ein genügend langes Passwort nimmst mit genügend verschiedenen Zeichen schadet es nicht gross, wenn du admin als Benuzernamen nimmst, aber wenn du dann auch noch ein Passwort wie hier mit nur 4 Buchstaben verwendest, dann wird es einfach zu cracken sein.
|
Ja natürlich nehm ich ein langes Passwort und einen individuellen Benutzernamen 
Und das Script an sich is in Ordnung?
|
18-11-2008, 20:49
|
|
jmc
PHP Junior
|
|
Registriert seit: Mar 2006
Beiträge: 868
|
|
Jop, sonst ist schon ziemlich sicher. 
|
18-11-2008, 20:51
|
|
SCHiLLER
Newbie
|
|
Registriert seit: Nov 2008
Ort: 127.0.0.1
Beiträge: 8
|
|
Zitat:
Original geschrieben von jmc
Jop, sonst ist schon ziemlich sicher.
|
das ist gut, danke
|
18-11-2008, 21:30
|
|
gourmet
Registrierter Benutzer
|
|
Registriert seit: Feb 2007
Beiträge: 154
|
|
Re: Login Sicherheit
Zitat:
Original geschrieben von SCHiLLER
PHP-Code:
<?PHP
if(!isset($_SESSION['admin']))
{
header("location: index.php");
exit;
}
?>
----------------------------------------------------------------------
<?PHP
session_start();
$user = $_POST["username"];
$pw = $_POST["password"];
include("_admin.php");
if ($user == $username && md5($pw) == $password)
{
$_SESSION['admin'] = "$user";
header("location: admincenter.php");
}
else
{
header("location: index.php");
}
?>
|
Hallo Schiller,
exit; kannst du weglassen, wird eh nicht ausgeführt
PHP-Code:
$user = $_POST["username"];
$pw = $_POST["password"];
// ^^ ist ebenfalls überflüssig
//kannst das auch so lösen
//eventuell vorher auch überprüfen ob überhaupt der login button angeklickt wurde
if($_POST['username'] == $username && md5($_POST['passwort']) == $passwort) {
//mach dies, tue jenes
}
$_SESSION['admin'] = "$user";
//"$user"
// ^^die Anführungsstriche gehören da nicht hin
vg
gourmet
|
18-11-2008, 21:52
|
|
PHP-Desaster
PHP Expert
|
|
Registriert seit: Mar 2006
Beiträge: 3.105
|
|
Re: Re: Login Sicherheit
Zitat:
|
exit; kannst du weglassen, wird eh nicht ausgeführt
|
Ist das so? Ich wäre mir da nicht so sicher!
|
18-11-2008, 23:50
|
|
onemorenerd
Moderator
|
|
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
|
|
Ich finde exit nach einen header('Location...') sehr gesund. So kann man sicher sein, dass das Script an der Stelle abbricht. Alles andere wäre Unsinn.
|
19-11-2008, 17:40
|
|
gourmet
Registrierter Benutzer
|
|
Registriert seit: Feb 2007
Beiträge: 154
|
|
ja habt recht, ich habe mich nochmal dazu belesen, ein exit; ist nicht verkehrt, ist mir noch nie so aufgefallen das da noch etwas passiert nach dem header()
vg
gourmet
|
22-11-2008, 06:19
|
|
nichtsooft
Registrierter Benutzer
|
|
Registriert seit: Apr 2006
Ort: Wien [AUT]
Beiträge: 385
|
|
Zitat:
Original geschrieben von gourmet
ja habt recht, ich habe mich nochmal dazu belesen, ein exit; ist nicht verkehrt, ist mir noch nie so aufgefallen das da noch etwas passiert nach dem header()
vg
gourmet
|
Macht ja nichts gourmet! Wir haben hier alle schon mal was neues gelesen!
__________________
WHILE (!$asleep) { $sheep++; }
|
24-11-2008, 15:53
|
|
phpguru42
Newbie
|
|
Registriert seit: Oct 2008
Beiträge: 71
|
|
Vielleicht solltest Du solche wichtigen Dateien doch lieber mit require() einbinden.
Wenn der Include fehlschlägt, ist Dein ganzer Schutz ausgehoben!
|
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
|
| Themen-Optionen |
|
|
| Thema bewerten |
|
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
|
PHP News
Aktuelle PHP Scripte
ADSMAN V3 - Werbe-Manager
ADSMAN V3 - mehr als nur ein Bannermanager!
Banner, Textanzeigen und PagePeel Manager!
Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi
25.10.2018 
virtualsystem | Kategorie: PHP/ Bannerverwaltung
|
|
PHP News und Artikel Script V2
News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...
25.10.2018
virtualsystem | Kategorie: PHP/ News
|
|
Top-Side Guestbook
Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V
22.10.2018
webmaster10 | Kategorie: PHP/ Gaestebuch
|
 Alle PHP Scripte anzeigen
|
Jetzt registrieren
