Login MySQL / PHP SICHER????

splash_iem · 29.04.2010, 16:01

hallo zusammen,

ich habe jetzt einen Login geschrieben und frage mich jetzt ob er auch sicher genug ist...
Vielleicht Schaut ihr es euch mal an.

Danke im Voraus und mit freundlichem Gruß

PHP-Code:

  <?php

session_start();

?>

 
<?php

 
$verbindung = mysql_connect("localhost", "BENUZER" , "PASSWORT")

or die("Verbindung zur Datenbank konnte nicht hergestellt werden");

 
mysql_select_db("DATENBANK") or die ("Datenbank konnte nicht ausgewählt werden");

 
$username = $_POST["username"];

$password = $_POST["password"];

 
$abfrage = "SELECT NICKNAMENSPALTE, KENNWORTSPALTE FROM TABELLE WHERE Nickname = '".$username."'";

$ergebnis = mysql_query($abfrage)

or die("Error: $abfrage <br>".mysql_error);

 
 
while ($row = mysql_fetch_object($ergebnis))

 
if($row->Kennwort == $password)

    {

    $_SESSION["username"] = $username;

    echo "Login erfolgreich. <br> <a href=\"geschuetzerbereich.html\">Geschützer Bereich</a>";

    }

else

    {

    echo "Benutzername und/oder Passwort waren falsch. <a href=\"loginformular.html\">Login</a>".$row->Kennwort."test";

 
    }

 
?>

Flor1an · 29.04.2010, 16:05

Nein ganz und gar nicht.

1. SQL Injection ist möglich.
2. Anscheinend speicherst du deine Passwörter im Klartext. Das solltest du vermeiden. Speichere sie als "salted Hash".

Du solltest auserdem den Login auf maximal einen User beschränken. Da du im Query mehrere User ausliest und dann auch noch in einer Schleife überprüfst ob das Passwort stimmt kann es da schnell zu Problemen kommen.

Ansonsten lies dir mal folgendes durch:
Hinweis:
[!] Bitte lies dir diesen Thread zu den Grundlagen von PHP durch. Die Grundlagen sind essentiell für das Arbeiten mit PHP, MySQL, HTML, JavaScript oder CSS!

splash_iem · 29.04.2010, 16:47

Danke schonmal für die schnelle Antwort...

was genau kann bzw. muss ich ändern?

ToxicToast · 29.04.2010, 16:52

Wie gesagt, speichere deine Passwörter nicht im Klartext.
Ich kann md5(); empfehlen.

Folglich würde deine Variable nun so aussehen:
$password = md5($_POST["password"]);

Und am besten liest du dir den Artikel mal durch:
SQL-Injection – Wikipedia

Flor1an · 29.04.2010, 16:55

@ToxicToast: Wieso kannst du md5 empfehlen? Man sollte md5 nicht einfach nur so verwenden. Es sollte immer noch ein Salt verwendet werden.

Zu den Punkten solltest du selbst mal googlen um was es geht und wie man es beheben kann. Und du solltest prüfen ob $_POST['username'] und $_POST['password'] überhaupt gesetzt sind.

splash_iem · 29.04.2010, 17:00

Zitat:

Zitat von Flor1an

Und du solltest prüfen ob $_POST['username'] und $_POST['password'] überhaupt gesetzt sind.

sry, aber das verstehe ich nicht so ganz...

und mit md5 bin ich mir auch noch nicht so sicher ob das die ideale lösung ist

Flor1an · 29.04.2010, 17:01

Man sollte immer Abfragen ob eine Variable gesetzt ist. Was ist wenn jemand das Formular abschickt, aber nur das Inputfeld für den Usernamen im Formular mitgeschickt wird? Dann kommt ein Fehler weil $_POST['password'] nicht existiert. Diesen solltest du aber abfangen.

md5 solltest du mit Salt verwenden, dann spricht imho nichts dagegen!

ToxicToast · 29.04.2010, 17:06

Von "einfach nur so" verwenden war ja auch nicht dir rede.
Aber stimmt, du hast Recht, gibt mitlerweile genügend Programme die Hash's entschlüsseln können...

Allerdings:
Die Sicherheit hängt hier mal wieder ganz vom Entwicker ab.
Wie lang ist der private Schlüssel?
Wieviele Sonderzeichen und kryptische Reihenfolgen hat der private Schlüssel
Wie sicher ist der Server konfiguriert
usw usw...

Flor1an · 29.04.2010, 18:14

Naja gut es geht jetzt ums PHP Skript, da brauchen wir nicht noch über die Sicherheit des Servers reden

Und "Programme die Hash's entschlüsseln können" würde ich gerne noch richtig stellen. Ein Hash kann nicht entschlüsselt werden, er wird schließlich auch nicht verschlüsselt. Er kann nur in Tabellen nachgeschlagen werden ob er zufällig in dieser Tabelle drinnen steht und dazu dann der Klartext.

Klar hängt die Sicherheit dann vom Salt ab, aber es sollte leicht sein zumindest den Salt etwas komlizierter zu gestallten.

ToxicToast · 29.04.2010, 19:04

"Programme die Hash's entschlüsseln können" gut, dann war hier die Wortwahl unglücklich gewählt

Btw. ich glaub das hier wird Offtopic XD

@splash_iem
Prüfen tust du das mit isset.
Tutorials dazu gibts wie Sand am Meer =p

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] MySQL Link Resource in einer statischen Variablen speichern	Lenki	PHP-Fortgeschrittene	8	18.03.2010 16:37
Login + Mysql	pinky	Scriptbörse	6	22.02.2010 21:01
spammassassin, mysql login problem	JEGO	Server, Hosting und Workstations	1	17.02.2010 09:41
GUI-Tool kann sich nicht mit MySql verbinden	KWitt72	PHP Tipps 2008	3	21.12.2008 16:56
Mysql LoginScriptzu MySqli LoginScript	lithium	PHP Tipps 2008	27	17.11.2008 19:48
Lerne Grundlagen \| Quellensammlung	cycap	PHP Einsteiger	0	12.11.2008 16:23
Login Script mit if-Abfrage für Rechte (in vbdg mit mySQL)	haubna	PHP Tipps 2008	9	18.08.2008 14:03
PHP / MySQL \| Login Script Problem		PHP Tipps 2006	15	17.02.2006 12:26
Kein Zugriff über ODBC mit der IP-Adresse auf MySql DB		Datenbanken	4	09.02.2006 11:04
Login mithilfe von MySql	Brease	PHP Tipps 2007	20	09.11.2005 15:07
Suche Tipps für Persormance-Steigerung (Geld für Nützliches)		Beitragsarchiv	18	16.08.2005 10:57
MYSQL läuft nur wenn /tmp auf 777		Datenbanken	5	06.07.2005 08:38
MYSQL root login und logging Problem		Datenbanken	2	16.03.2005 08:41
PHP mysql problem beim login.	c01001	PHP Tipps 2004	8	05.08.2004 15:57
php login mit mysql	c01001	PHP Tipps 2004	2	04.08.2004 21:30

29.04.2010, 16:01
splash_iem Neuer Benutzer Registriert seit: 29.04.2010 Beiträge: 7 PHP-Kenntnisse: Fortgeschritten	Login MySQL / PHP SICHER???? hallo zusammen, ich habe jetzt einen Login geschrieben und frage mich jetzt ob er auch sicher genug ist... Vielleicht Schaut ihr es euch mal an. Danke im Voraus und mit freundlichem Gruß PHP-Code: <?php session_start(); ?> <?php $verbindung = mysql_connect("localhost", "BENUZER" , "PASSWORT") or die("Verbindung zur Datenbank konnte nicht hergestellt werden"); mysql_select_db("DATENBANK") or die ("Datenbank konnte nicht ausgewählt werden"); $username = $_POST["username"]; $password = $_POST["password"]; $abfrage = "SELECT NICKNAMENSPALTE, KENNWORTSPALTE FROM TABELLE WHERE Nickname = '".$username."'"; $ergebnis = mysql_query($abfrage) or die("Error: $abfrage <br>".mysql_error); while ($row = mysql_fetch_object($ergebnis)) if($row->Kennwort == $password) { $_SESSION["username"] = $username; echo "Login erfolgreich. <br> <a href=\"geschuetzerbereich.html\">Geschützer Bereich</a>"; } else { echo "Benutzername und/oder Passwort waren falsch. <a href=\"loginformular.html\">Login</a>".$row->Kennwort."test"; } ?>


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.04.2010, 16:05
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Nein ganz und gar nicht. 1. SQL Injection ist möglich. 2. Anscheinend speicherst du deine Passwörter im Klartext. Das solltest du vermeiden. Speichere sie als "salted Hash". Du solltest auserdem den Login auf maximal einen User beschränken. Da du im Query mehrere User ausliest und dann auch noch in einer Schleife überprüfst ob das Passwort stimmt kann es da schnell zu Problemen kommen. Ansonsten lies dir mal folgendes durch: Hinweis: [!] Bitte lies dir diesen Thread zu den Grundlagen von PHP durch. Die Grundlagen sind essentiell für das Arbeiten mit PHP, MySQL, HTML, JavaScript oder CSS!

29.04.2010, 16:47
splash_iem Neuer Benutzer Registriert seit: 29.04.2010 Beiträge: 7 PHP-Kenntnisse: Fortgeschritten	Danke schonmal für die schnelle Antwort... was genau kann bzw. muss ich ändern?

29.04.2010, 16:52
ToxicToast Erfahrener Benutzer Registriert seit: 06.10.2009 Beiträge: 112 PHP-Kenntnisse: Fortgeschritten	Wie gesagt, speichere deine Passwörter nicht im Klartext. Ich kann md5(); empfehlen. Folglich würde deine Variable nun so aussehen: $password = md5($_POST["password"]); Und am besten liest du dir den Artikel mal durch: SQL-Injection – Wikipedia __________________ Merke: PHP ist keine politische Partei und MySQL ist nicht der Name eines Toasters

29.04.2010, 16:55
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	@ToxicToast: Wieso kannst du md5 empfehlen? Man sollte md5 nicht einfach nur so verwenden. Es sollte immer noch ein Salt verwendet werden. Zu den Punkten solltest du selbst mal googlen um was es geht und wie man es beheben kann. Und du solltest prüfen ob $_POST['username'] und $_POST['password'] überhaupt gesetzt sind.

29.04.2010, 17:01
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Man sollte immer Abfragen ob eine Variable gesetzt ist. Was ist wenn jemand das Formular abschickt, aber nur das Inputfeld für den Usernamen im Formular mitgeschickt wird? Dann kommt ein Fehler weil $_POST['password'] nicht existiert. Diesen solltest du aber abfangen. md5 solltest du mit Salt verwenden, dann spricht imho nichts dagegen!

29.04.2010, 17:06
ToxicToast Erfahrener Benutzer Registriert seit: 06.10.2009 Beiträge: 112 PHP-Kenntnisse: Fortgeschritten	Von "einfach nur so" verwenden war ja auch nicht dir rede. Aber stimmt, du hast Recht, gibt mitlerweile genügend Programme die Hash's entschlüsseln können... Allerdings: Die Sicherheit hängt hier mal wieder ganz vom Entwicker ab. Wie lang ist der private Schlüssel? Wieviele Sonderzeichen und kryptische Reihenfolgen hat der private Schlüssel Wie sicher ist der Server konfiguriert usw usw... __________________ Merke: PHP ist keine politische Partei und MySQL ist nicht der Name eines Toasters

29.04.2010, 18:14
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Naja gut es geht jetzt ums PHP Skript, da brauchen wir nicht noch über die Sicherheit des Servers reden Und "Programme die Hash's entschlüsseln können" würde ich gerne noch richtig stellen. Ein Hash kann nicht entschlüsselt werden, er wird schließlich auch nicht verschlüsselt. Er kann nur in Tabellen nachgeschlagen werden ob er zufällig in dieser Tabelle drinnen steht und dazu dann der Klartext. Klar hängt die Sicherheit dann vom Salt ab, aber es sollte leicht sein zumindest den Salt etwas komlizierter zu gestallten.

29.04.2010, 19:04
ToxicToast Erfahrener Benutzer Registriert seit: 06.10.2009 Beiträge: 112 PHP-Kenntnisse: Fortgeschritten	"Programme die Hash's entschlüsseln können" gut, dann war hier die Wortwahl unglücklich gewählt Btw. ich glaub das hier wird Offtopic XD @splash_iem Prüfen tust du das mit isset. Tutorials dazu gibts wie Sand am Meer =p __________________ Merke: PHP ist keine politische Partei und MySQL ist nicht der Name eines Toasters