Ist das Login so "einigermaßen" sicher?

Internetdepp · 31.01.2012, 19:43

ich weiß nicht ob ich das hier so machen darf?

ich versuch es trotzdem... dank der hilfe hier habe ich ein login gebästelt...

PHP-Code:

  <?php

$username = $_POST["username"]; 
$passwort =$_POST["password"]; 

// schädliche Zeichen prüfen
IF( (preg_match('/[^A-Za-z0-9 -]/', $username) ) OR ( preg_match('/[^A-Za-z0-9 -]/', $passwort) )){ 
    ECHO "<script language=\"javascript\">alert(\"Sonderzeichen sind nicht erlaubt\");</script>";
    ECHO "<meta http-equiv='refresh'content='0;URL=http://xxxxxxxx/dl_ip_ok.php'>"; //diese Seite wird neu geladen
    }
//wenn keine schädlichen Zeichen vorhanden sind:    
mysql_select_db(de_abo);
$abfrage = "SELECT ABOid, username, Passwort FROM ABO_stamm WHERE username LIKE '". mysql_real_escape_string($username) ."' AND deleted=0";
$ergebnis = mysql_query($abfrage);
$row = mysql_fetch_object($ergebnis); 

//bei 5 Fehlversuche wird beendet und die IP in Blacklist geschrieben
IF ($z=="5"){
    $ip=$_SESSION['IP'];
    $select_zsys= mysql_select_db(zsys);
    $sql = mysql_query("INSERT INTO Blacklist (IPAdress, LogIn, Locked) VALUES ('$ip','A','1')");            
    ECHO "<meta http-equiv='refresh'content='0;URL=http://xxxxxxxx/dl_ip_false.php'>";
    UNSET($_SESSION['url']);
    }
//bei richtiger Eingabe und User mit Passwort vorhanden
IF (isset($_POST["username"]) && isset($_POST["password"]) &&($_POST["username"] != ""))
    {
        IF(($row->Passwort == $passwort) && ($row->username == $username))
        { 
            $_SESSION['DLABOid']=$row->ABOid;
            //ECHO "Alles ok..würde durchgehen....."; //zum testen
            ECHO "<meta http-equiv='refresh'content='0;URL=http://xxxxxxxx/dl_check.php'>";
                        UNSET($_SESSION['url']);
        } 
    }
// kein Username eingegeben
IF($_POST["username"] == ""){
    //ECHO "Geben Sie Ihren Username ein";
    }
// falsche Zugangsdaten
IF(($row->Passwort != $passwort) OR ($row->username != $username)) {
    ECHO "Zugangsdaten falsch oder nicht registriert";
    } 
?>

ist bestimmt nicht elegant...aber mit viel mühe und schweiß gemacht...
Gibt es hier probleme...wo sind offensichtliche Sicherheitslücken??

nikosch · 31.01.2012, 20:14

- Keine POST-gesetzt Prüfung
- unnötige Einschränkung der Passwortzeichen
- <meta> Hat nichts im Dokukemt-Body zu suchen
- Script-alert funktioniert ohne JS nicht: keine Rückmeldung
- Ungültige Zeichen führen nicht zwingend zum Abbruch
- mysql_select_db(de_abo); -> String!
- DB-Operationen -> Kein Fehlermanagement!
- IF ($z=="5"){ -> woher kommt $z
- Blacklisting ist wirkungslos, Session kann durch Cookie löschen zurückgesetzt werden
- IF (isset($_POST["username"]) && isset($_POST["password"]) &&($_POST["username"] != "")) -> zu spät
- && ($row->username == $username)) -> WHERE username LIKE '". mysql_real_escape_string($username)

Zitat:

// kein Username eingegeben
IF($_POST["username"] == ""){
//ECHO "Geben Sie Ihren Username ein";
}
// falsche Zugangsdaten
IF(($row->Passwort != $passwort) OR ($row->username != $username)) {
ECHO "Zugangsdaten falsch oder nicht registriert";
}

Schon mal was von else gehört? Unvollständig, Crap…

Harry_X · 31.01.2012, 22:36

grausam.. das tut hinten und vorne nicht richtig.
Du solltest dich mit den zu programmierenden Kontroll-Strukturen an sich -unabhängig von einer Programmiersprache- auseinandersetzen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Login Script for Dummies	Dark Decipio	PHP Einsteiger	9	25.01.2012 17:11
Login passabel?!	Solu	PHP Einsteiger	14	08.12.2011 11:04
Facebook Login und eigener Login Paralell	blackcrow	PHP-Fortgeschrittene	17	29.05.2011 21:03
[Erledigt] Weiterleitung nach Login	Michelangelo	PHP Einsteiger	3	05.01.2011 13:46
Professioneller Login?	Curcio	PHP Tipps 2010	121	09.04.2010 21:06
Login script zeigt immer formular an auch wenn eingeloggt sein sollte	salix	PHP Tipps 2010	2	28.03.2010 22:21
login mit datenbank und sessions	kael	PHP Tipps 2009	4	23.11.2009 21:10
Forum Login per curl	leb0rtran	PHP Tipps 2008	1	19.03.2008 12:47
Etwas komplexerer Login --> Keine Angst, Suche benutzt	dethlef14	PHP Tipps 2006	7	02.10.2006 00:35
.htaccess Login über HTML Login Felder gestalten	php1	PHP-Fortgeschrittene	2	09.08.2006 13:53
Session Logout Login Navigation	TailerD	PHP Tipps 2006	10	24.06.2006 17:12
Frage zu Login	Kein Genie	PHP Tipps 2006	5	16.06.2006 12:34
phpBB Loginscript in eigenes Login Script einbinden	2wuck	PHP Tipps 2007	4	19.12.2005 23:10
[Erledigt] Login, LogIn, Anmelden, Einloggen -&amp;amp;amp;gt; ???		Off-Topic Diskussionen	20	14.07.2005 11:01
login mit session id		PHP Tipps 2005	10	26.01.2005 12:32

31.01.2012, 19:43
Internetdepp Benutzer Registriert seit: 01.11.2010 Beiträge: 96 PHP-Kenntnisse: Anfänger	Ist das Login so "einigermaßen" sicher? ich weiß nicht ob ich das hier so machen darf? ich versuch es trotzdem... dank der hilfe hier habe ich ein login gebästelt... PHP-Code: <?php $username = $_POST["username"]; $passwort =$_POST["password"]; // schädliche Zeichen prüfen IF( (preg_match('/[^A-Za-z0-9 -]/', $username) ) OR ( preg_match('/[^A-Za-z0-9 -]/', $passwort) )){ ECHO "<script language=\"javascript\">alert(\"Sonderzeichen sind nicht erlaubt\");</script>"; ECHO "<meta http-equiv='refresh'content='0;URL=http://xxxxxxxx/dl_ip_ok.php'>"; //diese Seite wird neu geladen } //wenn keine schädlichen Zeichen vorhanden sind: mysql_select_db(de_abo); $abfrage = "SELECT ABOid, username, Passwort FROM ABO_stamm WHERE username LIKE '". mysql_real_escape_string($username) ."' AND deleted=0"; $ergebnis = mysql_query($abfrage); $row = mysql_fetch_object($ergebnis); //bei 5 Fehlversuche wird beendet und die IP in Blacklist geschrieben IF ($z=="5"){ $ip=$_SESSION['IP']; $select_zsys= mysql_select_db(zsys); $sql = mysql_query("INSERT INTO Blacklist (IPAdress, LogIn, Locked) VALUES ('$ip','A','1')"); ECHO "<meta http-equiv='refresh'content='0;URL=http://xxxxxxxx/dl_ip_false.php'>"; UNSET($_SESSION['url']); } //bei richtiger Eingabe und User mit Passwort vorhanden IF (isset($_POST["username"]) && isset($_POST["password"]) &&($_POST["username"] != "")) { IF(($row->Passwort == $passwort) && ($row->username == $username)) { $_SESSION['DLABOid']=$row->ABOid; //ECHO "Alles ok..würde durchgehen....."; //zum testen ECHO "<meta http-equiv='refresh'content='0;URL=http://xxxxxxxx/dl_check.php'>"; UNSET($_SESSION['url']); } } // kein Username eingegeben IF($_POST["username"] == ""){ //ECHO "Geben Sie Ihren Username ein"; } // falsche Zugangsdaten IF(($row->Passwort != $passwort) OR ($row->username != $username)) { ECHO "Zugangsdaten falsch oder nicht registriert"; } ?> ist bestimmt nicht elegant...aber mit viel mühe und schweiß gemacht... Gibt es hier probleme...wo sind offensichtliche Sicherheitslücken??


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

31.01.2012, 22:36
Harry_X Erfahrener Benutzer Registriert seit: 08.10.2009 Beiträge: 681 PHP-Kenntnisse: Anfänger	grausam.. das tut hinten und vorne nicht richtig. Du solltest dich mit den zu programmierenden Kontroll-Strukturen an sich -unabhängig von einer Programmiersprache- auseinandersetzen.