Loginscript ohne MySQL um Passwort-ändern Funktion erweitern

12.02.2012, 14:37

Also nach dieser Anleitung habe ich bei mir den Login gemacht:
http://www.vbdesigns.de/php-scripte/...ysql-7802.html jetzt wollte ich mal fragen wie man dafür ein "Passwort ändern Feld" erstellen kann. Lösungsansätze hat ja schon einer geschrieben weiter unten auf der seite aber nie ohne fehler gepostet. ( http://forum.bplaced.net/viewtopic.php?f=10&t=5708 ) Wo liegt der Fehler?
Ich hab es mal so probiert:

PHP-Code:

  <?php
if(isset($_POST['username']) && isset($_POST['pass']) && isset($_POST['newpass']) && $_POST['pass'] != $_POST['newpass'] ) {
    $user_array = array();
    $i = 0;
    $username = $_POST['username'];
    $passwort = $_POST['pass'];
    $newpasswort = $_POST['newpass'];
    $userdatei = explode("\n",file_get_contents("user.txt"));
    foreach($userdatei as $user)  {
        $user_array[$i] = $user; 
        $userdata = explode("|", $user); 
        if ($userdata[0]==$username and $passwort==trim($userdata[1]))  { 
            $user_array[$i] = $username.'|'.$newpasswort;
            echo 'Passwort ge&auml;ndert';
        } 
        $i++;
    }
    $user_array = array_unique($user_array);
    file_put_contents("user.txt",implode("\n",$user_array));

 }
?>
<form method="post" action="<?php echo $_SERVER['PHP_SELF'];?>">
<fieldset>
<legend>Neues Passwort</legend>
    <label for="username">Benutzer</label><input id="username" type="text" name="username" /><br />
    <label for="pass">Altes Passwort</label><input id="pass" type="text" name="pass" /><br />
    <label for="newpass">Neues Passwort</label><input id="newpass" type="text" name="newpass" /><br />
    <input type="submit" value="speichern" /><br />
</fieldset>
</form>

tr0y · 12.02.2012, 14:51

Dein Script bringt das Sicherheitsloch "passwörter öffentlich auslesbar" mit.

Nutz besser stattdessen arrays worin du speicherst und schieb sie zum speichern per var_export über file_put_contents in eine .php-datei, die du zum auslesen einfach includierst.

Zum rest: Wir reparieren nix. Fragen wie "Wie muss das lauten das es funktioniert?" enden hier meist im Trash Bin.

12.02.2012, 15:07

Zitat:

Zitat von tr0y

Zum rest: Wir reparieren nix. Fragen wie "Wie muss das lauten das es funktioniert?" enden hier meist im Trash Bin.

Ok aber wenigstens sagen wo der Fehler liegt, das wäre eine große Hilfe!

tr0y · 12.02.2012, 16:04

Die Fehler:
- Dein PHP-Code ist weit weg von Sicher
- Mit dem Formularfeld des neuen Passworts ist man in der Lage beliebig viele User deiner Textdatei hinzuzufügen
- Mit dem Formularfeld des neuen Passworts ist man in der Lage deinen Webspace mit mehreren Terabyte Daten volllaufen zu lassen.
- Du behandelst keine Ausnahmefälle:
--- Neues Passwort enthält gültige Zeichen
--- Neues Passwort hat gültige Länge
--- Neues Passwort nicht gesetzt -> Benutzer wird dumm sterben gelassen
--- Neues Passwort ist identisch mit altem Passwort
--- ...
- Du erzeugst einen Index neben einem existierenden Index ( siehe foreach im handbuch, $i is sinnlos )
- Du prüfst nicht auf existenz des Formulars ( bspw. per Submit-Feld )

Nutze den von mir angebrachten Vorschlag mit var_export im Vorpost, dann kannst du dir das ganze Gebimsel mit explode() und join() sparen, und keiner kann dir deine Nutzerdatenbank vom Webspace runterladen. Nutz einfach den Key des Array-Eintrags als Username ( von mir aus als base64-string ) und speicher grundsätzlich nur einen hash des passworts ( SHA256 z.b. ), unzwar als Value des entsprechenden Eintrags.

12.02.2012, 19:08

Zitat:

Zitat von tr0y

- Dein PHP-Code ist weit weg von Sicher
- Mit dem Formularfeld des neuen Passworts ist man in der Lage beliebig viele User deiner Textdatei hinzuzufügen
--- Neues Passwort nicht gesetzt -> Benutzer wird dumm sterben gelassen
--- Neues Passwort ist identisch mit altem Passwort

Ok das hört sich nicht gut an

Und wie kann ich die oben gennanten Fehler beheben?
Da ich noch ein ziemlicher Anfäger in php bin bitte ausführlicher schreiben ich blick sonst überhaupt nicht durch

nikosch · 12.02.2012, 19:24

Zitat:

Zum rest: Wir reparieren nix. Fragen wie "Wie muss das lauten das es funktioniert?" enden hier meist im Trash Bin.

tr0y · 12.02.2012, 19:38

Zitat:

Zitat von luigiano

Ok das hört sich nicht gut an

Und wie kann ich die oben gennanten Fehler beheben?
Da ich noch ein ziemlicher Anfäger in php bin bitte ausführlicher schreiben ich blick sonst überhaupt nicht durch

Befass dich mit Grundlagen ( Siehe Forennavigationsleiste ), dann kriegst du das spielend hin. Fang mit dem Quake(net)-PHP Tutorial an und schau auch mal bei Schattenbaum vorbei.

Bis zum nächsten Wochenende kriegst du mit Sicherheit ein Paar Grundlagen-Tutorials durch, als das du die oben genannten Dinge umsetzen kannst. Der Rest ist dann Logik, Logik und nochmals Logik.

Ein Loch das nicht zugemacht wird, ist halt ein Loch, das immer Offen ist.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Passwort vergessen Funktion	Extremefall	PHP Tipps 2010	12	22.01.2010 21:52
[Erledigt] MySQL Passwort \| Ausgesperrt \| XAMPP	Capfly	Datenbanken	7	04.11.2009 21:05
Passwort vergessen Funktion	Gravenstein	PHP Tipps 2009	17	18.08.2009 09:43
Warenverfügbarkeitslink inkl. User & Passwort mit MySQL & PHP	solvero	PHP Tipps 2008	11	21.08.2008 11:12
Funktion erweitern	funnx	PHP Tipps 2008	2	29.07.2008 20:10
Daten selber per Browser ändern (MYSQL)	Minimi	PHP Tipps 2008	9	31.12.2007 13:21
Datum hinzufügen: PHP oder MySQL Funktion	Lloyd Larkin	PHP Tipps 2006	5	10.12.2006 15:30
MySQL Server startet nicht mehr richtig...		Datenbanken	16	03.03.2006 19:40
[Erledigt] root passwort ändern		Datenbanken	1	09.03.2005 07:50
[Erledigt] passwort ändern		PHP Tipps 2004-2	7	27.12.2004 16:23
aendern funktion in mysql?!	Jinonidi	Datenbanken	2	06.12.2004 19:25
[Erledigt] mysql 4.1.x - passwort problem		Datenbanken	1	06.12.2004 13:57
[Erledigt] Passwort der DB ändern?		Datenbanken	2	12.11.2004 14:39
bin ich blöd???? Mysql Datenbank Passwort	becks123	Datenbanken	3	29.10.2004 14:11
Wie heist in MySQL die funktion "Variance" von Ora		Datenbanken	3	11.08.2004 12:21

12.02.2012, 14:37
luigiano Gast Beiträge: n/a	Loginscript ohne MySQL um Passwort-ändern Funktion erweitern Also nach dieser Anleitung habe ich bei mir den Login gemacht: http://www.vbdesigns.de/php-scripte/...ysql-7802.html jetzt wollte ich mal fragen wie man dafür ein "Passwort ändern Feld" erstellen kann. Lösungsansätze hat ja schon einer geschrieben weiter unten auf der seite aber nie ohne fehler gepostet. ( http://forum.bplaced.net/viewtopic.php?f=10&t=5708 ) Wo liegt der Fehler? Ich hab es mal so probiert: PHP-Code: <?php if(isset($_POST['username']) && isset($_POST['pass']) && isset($_POST['newpass']) && $_POST['pass'] != $_POST['newpass'] ) { $user_array = array(); $i = 0; $username = $_POST['username']; $passwort = $_POST['pass']; $newpasswort = $_POST['newpass']; $userdatei = explode("\n",file_get_contents("user.txt")); foreach($userdatei as $user) { $user_array[$i] = $user; $userdata = explode("\|", $user); if ($userdata[0]==$username and $passwort==trim($userdata[1])) { $user_array[$i] = $username.'\|'.$newpasswort; echo 'Passwort geändert'; } $i++; } $user_array = array_unique($user_array); file_put_contents("user.txt",implode("\n",$user_array)); } ?> <form method="post" action="<?php echo $_SERVER['PHP_SELF'];?>"> <fieldset> <legend>Neues Passwort</legend> <label for="username">Benutzer</label><input id="username" type="text" name="username" /><br /> <label for="pass">Altes Passwort</label><input id="pass" type="text" name="pass" /><br /> <label for="newpass">Neues Passwort</label><input id="newpass" type="text" name="newpass" /><br /> <input type="submit" value="speichern" /><br /> </fieldset> </form> Geändert von luigiano (12.02.2012 um 15:42 Uhr).


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

12.02.2012, 14:51
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Dein Script bringt das Sicherheitsloch "passwörter öffentlich auslesbar" mit. Nutz besser stattdessen arrays worin du speicherst und schieb sie zum speichern per var_export über file_put_contents in eine .php-datei, die du zum auslesen einfach includierst. Zum rest: Wir reparieren nix. Fragen wie "Wie muss das lauten das es funktioniert?" enden hier meist im Trash Bin. __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

12.02.2012, 16:04
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Die Fehler: - Dein PHP-Code ist weit weg von Sicher - Mit dem Formularfeld des neuen Passworts ist man in der Lage beliebig viele User deiner Textdatei hinzuzufügen - Mit dem Formularfeld des neuen Passworts ist man in der Lage deinen Webspace mit mehreren Terabyte Daten volllaufen zu lassen. - Du behandelst keine Ausnahmefälle: --- Neues Passwort enthält gültige Zeichen --- Neues Passwort hat gültige Länge --- Neues Passwort nicht gesetzt -> Benutzer wird dumm sterben gelassen --- Neues Passwort ist identisch mit altem Passwort --- ... - Du erzeugst einen Index neben einem existierenden Index ( siehe foreach im handbuch, $i is sinnlos ) - Du prüfst nicht auf existenz des Formulars ( bspw. per Submit-Feld ) Nutze den von mir angebrachten Vorschlag mit var_export im Vorpost, dann kannst du dir das ganze Gebimsel mit explode() und join() sparen, und keiner kann dir deine Nutzerdatenbank vom Webspace runterladen. Nutz einfach den Key des Array-Eintrags als Username ( von mir aus als base64-string ) und speicher grundsätzlich nur einen hash des passworts ( SHA256 z.b. ), unzwar als Value des entsprechenden Eintrags. __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.