php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 06-12-2009, 06:27
ComicKopf
 Registrierter Benutzer
Links : Onlinestatus : ComicKopf ist offline
Registriert seit: Feb 2003
Beiträge: 89
ComicKopf ist zur Zeit noch ein unbeschriebenes Blatt
Standard Login Script Idee - Sicher?

Hallo,

ich möchte ein Login-Skript auf einer Website einbauen, und habe da an folgendes gedacht:

PHP-Code:

//Datenbankverbdingung ist hergestellt

if(preg_match("/^[a-z0-9\ä\ü\ö\ß\# \.\-\_]{2,20}+$/i",$_POST["login"])){
   
$read_ul="SELECT benutzernr,passwort FROM benutzer WHERE 
   nickname='"
.mysql_real_escape_string($_POST["login"])."' 
   AND passwort!='' LIMIT 0,1"
;
   
$result_ul=mysql_query($read_ul);
   
$range_ul=mysql_num_rows($result_ul);

   if(
$range_ul==1){
     
$row_ul=mysql_fetch_array($result_ul);

     if(
md5($_POST["login_p"])==$row_ul["passwort"] AND trim($_POST["login_p"])!="" 
       
AND strlen(trim($_POST["login_p"]))<=25 
       
AND strlen(trim($_POST["login_p"]))>=4){
         
$_SESSION["bnr"]=$row_ul["benutzernr"];
     }
   }
}
                  
if(
preg_match("/^[0-9]{1,10}$/",$_SESSION["bnr"]) AND $_SESSION["bnr"]>0){
  echo
"Geschützter Bereich";
              
  
//Anhand der "BNR" die Rechte der Person erfragen und dementsprechend Optionen anzeigen!


Ich habe schon einiges zu diesem Thema gelesen, aber wollte mal meinen eigenen Code dazu vorstellen. Es wäre nett wenn ihr mir helfen könntet mein eigenes Beispiel zu verbessern.

Danke!

Gruß

Geändert von ComicKopf (07-12-2009 um 14:04 Uhr)
Mit Zitat antworten
  #2 (permalink)  
Alt 06-12-2009, 11:16
unset
  Moderator
Links : Onlinestatus : unset ist offline
Registriert seit: Jan 2007
Ort: Düsseldorf
Beiträge: 3.782
unset befindet sich auf einem aufstrebenden Ast
Standard

Bitte brich deinen Code um, ich habe keine Lust mit 22 Zoll immer noch vertikal scrollen zu müssen, um jede Zeile komplett lesen zu können. Desweiteren solltest du sprechende Variablennamen benutzen "$range_ul" versteht man nicht, wenn man es nicht selbst geschrieben hat. Außerdem solltest du vielleicht mit ein paar Worten erklären, was du da genau machst.
Mit Zitat antworten
  #3 (permalink)  
Alt 06-12-2009, 12:23
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Hallo,

Zitat:
Zitat von ComicKopf Beitrag anzeigen
Login Script Idee - Sicher?
Nein, sicher ist es nicht, wenn das Passwort im Klartext über die Leitung geht, es sei denn du nutzt bereits eine SSL-Verbindung dafür. Ohne SSL ist HTTP Digest Authentication eine sichere Variante. Warum immer Login-Formulare bauen, wenn man das gleich auf HTTP-Level machen kann?

Gruß,

Amica
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #4 (permalink)  
Alt 06-12-2009, 12:26
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Wieso gehst du auf alle Variablen, sogar auf selbst erzeugte, mit preg_match() los?
Wieso prüfst du nicht gleich in der Query, ob der MD5-Hash vom Passwort stimmt?
Wieso muss der Benutzername noch weiter geprüft werden, wenn bereits feststeht, dass er mit dem Benutzernamen in der DB idetisch ist?

Also ingesamt ist der Ansatz zwar sicher, aber zu umständlich.
Mit Zitat antworten
  #5 (permalink)  
Alt 06-12-2009, 14:11
ComicKopf
 Registrierter Benutzer
Links : Onlinestatus : ComicKopf ist offline
Registriert seit: Feb 2003
Beiträge: 89
ComicKopf ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Danke für die schnellen Antworten.

Sorry, dass ich den Code nicht umgebrochen habe. Werde in Zukunft darauf achten.

@onemorenerd:
Mit dem md5-Hash hast du recht. Ich habe die Abfrage so gestaltet, damit ich eine entsprechende Fehlermeldung anzeigen könnte. d.h. "Ja, Benutzer gefunden, aber das Passwort passt nicht."
Sonst würde sofort kein Datensatz gefunden werden.

Welche selbst erzeugten Variablen meinst du?

Was meinst du mit weiterer Prüfung des Benutzernamens? Ich prüfe vorher der BN überhaupt gültig ist und dann ob es einen entsprecheden Datensatz gibt. Kann man sich das sparen?

Du und Amica widersprecht euch jetzt in der Aussage, ob das sicher ist.
@Amica: Wie genau hast du das gemeint?

Gruß
Mit Zitat antworten
  #6 (permalink)  
Alt 06-12-2009, 15:27
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von ComicKopf Beitrag anzeigen
Du und Amica widersprecht euch jetzt in der Aussage, ob das sicher ist.
@Amica: Wie genau hast du das gemeint?
Wirklich sicher ist ein Login nur, wenn das Passwort verschlüsselt übertragen wird. Das ist nur der Fall, wenn das Login entweder per SSL erfolgt (wie bei den meisten großen Freemailern) oder wenn du HTTP Digest Authentication verwendest. HTTP Basic Authentication ist da auch nicht sicher, weil dort das Passwort zwar nicht im Klartext übertragen wird, aber trotzdem sehr leicht mit base64_decode ausgelesen werden kann.

Login-Formulare haben (das ist meine Privatmeinung) absolut keinen praktischen Sinn und dienen nur dazu, das Login schicker zu machen, als den Standard-Authentifizierungsdialog des jeweiligen Browsers. Sicherer sind sie jedenfalls nie.
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #7 (permalink)  
Alt 06-12-2009, 15:30
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
Zitat von AmicaNoctis Beitrag anzeigen
Login-Formulare haben (das ist meine Privatmeinung) absolut keinen praktischen Sinn und dienen nur dazu, das Login schicker zu machen,.....
Wie kommst du im "PHP als CGI Modus" an den Usernamen?
__________________
Wir werden alle sterben
Mit Zitat antworten
  #8 (permalink)  
Alt 06-12-2009, 15:39
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

Zitat:
Zitat von ComicKopf Beitrag anzeigen
Mit dem md5-Hash hast du recht. Ich habe die Abfrage so gestaltet, damit ich eine entsprechende Fehlermeldung anzeigen könnte. d.h. "Ja, Benutzer gefunden, aber das Passwort passt nicht."
Mit solch präzisen Fehlermeldungen erleichterst du aber Brute Force Attacken bzw. gibst Daten (die Existenz eines Benutzernamens) preis.
Zitat:
Welche selbst erzeugten Variablen meinst du?
Die Benutzernummer hat sich der User sicher nicht selbst ausgedacht. Sie wurde vom System erzeugt, z.B. per auto_increment. Sorge dafür, dass dein System nur valide Benutzernummern in die DB schreibt. Dann brauchst du sie nicht immer wieder zu überprüfen, wenn du sie aus der DB holst.

Zitat:
Was meinst du mit weiterer Prüfung des Benutzernamens?
Sorry, ich meinte nicht den Namen sondern das Passwort. Du holst den Datensatz aus der DB, der den eingegebenen Benutzernamen enthält. Später prüfst du noch, ob das Passwort dem aus dem DS entspricht UND nicht leer ist und zwischen 4 und 25 Zeichen lang ist. Das ist Käse. Sorge lieber dafür, dass die DB nur Passwörter enthalten kann, die diesen Kriterien entsprechen.

Zitat:
Du und Amica widersprecht euch jetzt in der Aussage, ob das sicher ist.
Der mit dem gezeigten Code dargestellte Ansatz ist sicher. Will sagen: Die Idee ist richtig. Die Umsetzung allerdings noch mangelhaft.
Ob du HTTPS nutzt oder nicht, ist nicht ersichtlich. Solltest es aber nutzen, sagt Amica. Du kennst doch den Spruch vom schwächsten Glied der Kette ...?
Mit Zitat antworten
  #9 (permalink)  
Alt 06-12-2009, 15:42
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Zitat:
Zitat von combie Beitrag anzeigen
Wie kommst du im "PHP als CGI Modus" an den Usernamen?
PHP als CGI ist zwar keine Option für mich, aber stehen nicht alle Request-Headers in diesem Fall dann im $_ENV-Array?
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
  #10 (permalink)  
Alt 06-12-2009, 15:50
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Mein Kenntnisstand und meine (erfolglosen) Versuche entsprechen dem Handbuch.
Zitat:
The HTTP Authentication hooks in PHP are only available when it is running as an Apache module and is hence not available in the CGI version.
Und unterschlägt die Header.

Zitat:
PHP als CGI ist zwar keine Option für mich,
Eine Insel ?
Viele Massenhoster nutzen dieses.
z.B. Strato und 1&1
Auch "meine" Server.

Man bekommt die User/Domains sonst nicht vernünftig isoliert
__________________
Wir werden alle sterben

Geändert von combie (06-12-2009 um 15:55 Uhr)
Mit Zitat antworten
  #11 (permalink)  
Alt 06-12-2009, 20:43
Benutzerbild von fireweasel fireweasel
 Registrierter Benutzer
Links : Onlinestatus : fireweasel ist offline
Registriert seit: Sep 2008
Ort: At home
Beiträge: 851
fireweasel wird schon bald berühmt werdenfireweasel wird schon bald berühmt werden
fireweasel eine Nachricht über AIM schicken fireweasel eine Nachricht über Yahoo! schicken
Standard

Zitat:
Zitat von AmicaNoctis Beitrag anzeigen
Login-Formulare haben (das ist meine Privatmeinung) absolut keinen praktischen Sinn und dienen nur dazu, das Login schicker zu machen, als den Standard-Authentifizierungsdialog des jeweiligen Browsers. Sicherer sind sie jedenfalls nie.
Sie haben den Vorteil, dass ein explizites Ausloggen möglich ist, und die Lebensdauer einer Logon-Session begrenzt werden kann. Mit der HTTP-Authentifizierung ist sowas AFAIK nicht möglich[1]. Für Client-Computer, die von mehreren Personen genutzt werden, fällt dieses Verfahren damit aus. (Man korrigiere mich, wenn ich Unsinn erzähle.)

... und dann war da noch das Phishing-Risiko über den <img>-Trick.

[1] Jeder Browser hat seine eigene "Auslog"-Variante und der Benutzer muss zu jedem Zeitpunkt den richtigen Button im Dialogfenster erwischen.

Geändert von fireweasel (08-01-2010 um 22:11 Uhr) Grund: Ergänzungen
Mit Zitat antworten
  #12 (permalink)  
Alt 06-12-2009, 20:53
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Einen Status 401 senden, dann sollten die Browser einen Schock bekommen und Authentifizierungsdaten vergessen.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #13 (permalink)  
Alt 06-12-2009, 21:32
Benutzerbild von fireweasel fireweasel
 Registrierter Benutzer
Links : Onlinestatus : fireweasel ist offline
Registriert seit: Sep 2008
Ort: At home
Beiträge: 851
fireweasel wird schon bald berühmt werdenfireweasel wird schon bald berühmt werden
fireweasel eine Nachricht über AIM schicken fireweasel eine Nachricht über Yahoo! schicken
Standard

Zitat:
Zitat von combie Beitrag anzeigen
Einen Status 401 senden, dann sollten die Browser einen Schock bekommen und Authentifizierungsdaten vergessen.
Hast du das schon mal erfolgreich versucht?
Wenn ja, wie hast du herausbekommen, ob der Browser auch tatsächlich die "Authentifizierungsdaten vergessen" hat?
Mit Zitat antworten
  #14 (permalink)  
Alt 06-12-2009, 21:39
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Da im meinem Umfeld kein PHP Modul läuft, kann ich das jetzt nicht testen. Aber ich bin mir recht sicher.


Zitat:
Wenn ja, wie hast du herausbekommen, ob der Browser auch tatsächlich die "Authentifizierungsdaten vergessen" hat?
Die fehlenden Einträge in $_SERVER
__________________
Wir werden alle sterben
Mit Zitat antworten
  #15 (permalink)  
Alt 06-12-2009, 21:49
AmicaNoctis
  Moderatorin
Links : Onlinestatus : AmicaNoctis ist offline
Registriert seit: Jul 2009
Beiträge: 5.709
Blog-Einträge: 9
AmicaNoctis sorgt für eine eindrucksvolle AtmosphäreAmicaNoctis sorgt für eine eindrucksvolle Atmosphäre
Standard

Kann ich bestätigen. Ich benutze in einem Projekt seit längerem nur Digest Auth (inkl. Logoff) und das funktionierte in bisher jedem Browser so (PHPMyAdmin macht es übrigens ebenso, auch wenn es da zu der unschönen Passwort-Eingabeaufforderung kommt, die man dann abbrechen muss).
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt?
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke!
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Ist dieser Login sicher? Gazorbeam PHP Developer Forum 12 30-10-2007 11:10
Login ja, aber sicher? xJonx PHP Developer Forum 52 07-02-2007 23:34
Login - sicher? sinusweb PHP Developer Forum 2 31-01-2007 22:29
Idee für Login System dibsi PHP Developer Forum 13 12-10-2006 10:29
mrhappiness Login Script - Wie sicher? xManUx PHP Developer Forum 15 29-03-2004 15:25

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 10:52 Uhr.