PHP Login

Marcus77 · 12.02.2012, 22:55

Hi Leute

ich wieder

habe aif meiner Seite einen Login zu einem Adminbereich

nur komme ich nicht rein

habe natürlich FTP zugang und mysql

dies ist die Admin & PW Abfrage, nur worauf greift das hin ??

PHP-Code:

  if ($HTTP_HOST == "192.168.1.1")    // Überprüfe auf localhost

{    $bAdminOk = 1;                    // Dann Admin

}

else

{

    // Überprüfe User

    if(!$PHP_AUTH_USER)

    {   Header("WWW-authenticate: basic realm=\"Admin\"");

        Header("HTTP/1.0 401 Unauthorized");

        echo "Sie haben die Eingabe abgebrochen<br>Bitte benützen Sie den Back-Button, um zur vorhergehenden Seite zu kommen\n";

        exit;

    }

    else

    {    // Falls Eingabe gemacht wurde, lese inc-datei

        include_once ("inc/var_general.inc.php3");

 
        // Überprüfe Eingabe, wenn ok, setze $bAdminOk auf 1

 
        //Überprüft ab ein solcher User vorhanden

        include_once("inc/functions_general.inc.php3");

        include ("inc/var_sql.inc.php3");

        $connectionID = FncOpenDatabase ();

        $svSQL = "select plz FROM $cfgTabAdressen where kunden_nr=$PHP_AUTH_USER";

 
        //if (DEBUG) echo "\n<!-- debug: $svSQL -->\n";

        //echo "\n debug: $svSQL \n";

 
        // Führe SQL-Query aus

        $result = @mysql_query($svSQL,$connectionID);

        while ($row = @mysql_fetch_array($result))        

        {

            if ($row["plz"]==$PHP_AUTH_PW) {$bAdminOK = 1;}

        }

        

        if (($PHP_AUTH_USER == $cfgAdminName && $PHP_AUTH_PW == $cfgAdminPw) || ($bAdminOK==1))

        {    $bAdminOk = 1;

        }

        else

        {    $bAdminOk = 0;

            Header("WWW-authenticate: basic realm=\"Admin\"");

            Header("HTTP/1.0 401 Unauthorized");

            echo "Sie haben eine falsche Eingabe gemacht";

            exit;

        }

 
    }

}

?>

Danke

Trainmaster · 12.02.2012, 23:15

Zitat:

Zitat von Marcus77

nur komme ich nicht rein

Das ist keine Fehlerbeschreibung.

Ansonsten die üblichen Verdächtigen:

- Verwendung von Register Globals
- SQL Injection
- @ zur Fehlerunterdrückung

Dark Guardian · 13.02.2012, 00:51

1. Trainmasters Hinweise beachten

2. Das hier lesen
http://php.net/manual/de/features.http-auth.php

3. Das Gelesene verstehen

4. Umsetzen.

13.02.2012, 01:43

Zitat:

Zitat von Marcus77

habe aif meiner Seite einen Login zu einem Adminbereich
nur komme ich nicht rein

Klar kommste da nicht rein. Das ist ein steinaltes PHP Script, welches bis max. PHP 4.0.4pl1 als Apache Modul funktioniert hat.

Apache: Wie kann ich ein Verzeichnis mit PHP mit einem Passwort schützen?
http://www.php-faq.de/q-apache-php-passwort.html

Marcus77 · 13.02.2012, 10:19

Zitat:

Zitat von Trainmaster

Das ist keine Fehlerbeschreibung.

Ansonsten die üblichen Verdächtigen:

- Verwendung von Register Globals
- SQL Injection
- @ zur Fehlerunterdrückung

Darf ich da Nachfragen wie du das meinst ?

Es geht ja um KEINEN Fehler, nur wie ich meinen Login herausfidne, bzw per phpadmin zurücksetzten kann !

Wenn ich meine Seite aufrufe, kommt die Benutzer und PW Eingabe
und diese suche ich...

das Script greift ja auf meine USERDatenbank zu und sucht danach dem USER der reindarf !

Aber welcher ist das ?

Ich habe keine Angabe bei dem USER... das ich auf 1 oder so geben kann um zu zeigen, das der Admin ist

THX4help

tr0y · 13.02.2012, 10:32

Wer Admin ist ist in $cfgAdminName in irgendeinem der Includierten Dateien definierten Scripten festgelegt / ausgelesen.

Marcus77 · 13.02.2012, 10:33

Hallo Troy

aha, super Danke !

und die PW nehem ich aus der DB von meinem User

tr0y · 13.02.2012, 10:39

Zitat:

Zitat von Marcus77

Hallo Troy

aha, super Danke !

und die PW nehem ich aus der DB von meinem User

Jo allerdings nutzt das Script DEPRECATED-Funktionen und man sollte sich davon distanzieren das Script einzusetzen, da:
- SQL Injection möglich ist
- Nicht auf Localhost sondern auf eine Statische IP getestet wird, anders als bei

PHP-Code:

  $access = array( $_SERVER['SERVER_ADDR'] );

 
if ( in_array($_SERVER['REMOTE_ADDR'], $access ) ) {

   /* called from localhost in scope of network / computer */

}

- Das Script vom aufbau her nicht "überlebt" sondern mehrere stellen hat in der explizit exit() genutzt wird.
- Fehler unterdrückt werden, statt sie zu behandeln und auf sie zu reagieren.
- Viel zu viele undurchsichtige Statusvariablen genutzt werden statt statische IF-Blöcke, die Scopes repräsentieren.

Marcus77 · 13.02.2012, 10:49

Hallo

na ich will eh weg von dem, da es ja nicht mal PHP Zukunftstauglich ist !

Aber dazu muss ich mal wieder in meinen Admin rein kommen,... und für diesen ist ja das rundherum daweil nebensache: Oder

Trainmaster · 13.02.2012, 11:07

Wie kann man sich selbst vom Admin-Bereich ausschließen, wenn man Zugang zu den PHP-Dateien und der Datenbank hat?

Womöglich löst ein einfaches

PHP-Code:

  $bAdminOk = 1;

dein "Problem".

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Login Script for Dummies	Dark Decipio	PHP Einsteiger	9	25.01.2012 17:11
Login passabel?!	Solu	PHP Einsteiger	14	08.12.2011 11:04
Facebook Login und eigener Login Paralell	blackcrow	PHP-Fortgeschrittene	17	29.05.2011 21:03
[Erledigt] Weiterleitung nach Login	Michelangelo	PHP Einsteiger	3	05.01.2011 13:46
Login script zeigt immer formular an auch wenn eingeloggt sein sollte	salix	PHP Tipps 2010	2	28.03.2010 22:21
login mit datenbank und sessions	kael	PHP Tipps 2009	4	23.11.2009 21:10
Wbb 3.0.9 Login coden	w4rlock	PHP Tipps 2009	17	31.07.2009 20:34
Login php&SQL	KupferDieb	PHP Tipps 2009	9	26.04.2009 14:44
Etwas komplexerer Login --> Keine Angst, Suche benutzt	dethlef14	PHP Tipps 2006	7	02.10.2006 00:35
.htaccess Login über HTML Login Felder gestalten	php1	PHP-Fortgeschrittene	2	09.08.2006 13:53
Session Logout Login Navigation	TailerD	PHP Tipps 2006	10	24.06.2006 17:12
Frage zu Login	Kein Genie	PHP Tipps 2006	5	16.06.2006 12:34
phpBB Loginscript in eigenes Login Script einbinden	2wuck	PHP Tipps 2007	4	19.12.2005 23:10
[Erledigt] Login, LogIn, Anmelden, Einloggen -&amp;amp;amp;gt; ???		Off-Topic Diskussionen	20	14.07.2005 11:01
login mit session id		PHP Tipps 2005	10	26.01.2005 12:32

12.02.2012, 22:55
Marcus77 Benutzer Registriert seit: 21.12.2011 Beiträge: 84 PHP-Kenntnisse: Anfänger	PHP Login Hi Leute ich wieder habe aif meiner Seite einen Login zu einem Adminbereich nur komme ich nicht rein habe natürlich FTP zugang und mysql dies ist die Admin & PW Abfrage, nur worauf greift das hin ?? PHP-Code: if ($HTTP_HOST == "192.168.1.1") // Überprüfe auf localhost { $bAdminOk = 1; // Dann Admin } else { // Überprüfe User if(!$PHP_AUTH_USER) { Header("WWW-authenticate: basic realm=\"Admin\""); Header("HTTP/1.0 401 Unauthorized"); echo "Sie haben die Eingabe abgebrochen<br>Bitte benützen Sie den Back-Button, um zur vorhergehenden Seite zu kommen\n"; exit; } else { // Falls Eingabe gemacht wurde, lese inc-datei include_once ("inc/var_general.inc.php3"); // Überprüfe Eingabe, wenn ok, setze $bAdminOk auf 1 //Überprüft ab ein solcher User vorhanden include_once("inc/functions_general.inc.php3"); include ("inc/var_sql.inc.php3"); $connectionID = FncOpenDatabase (); $svSQL = "select plz FROM $cfgTabAdressen where kunden_nr=$PHP_AUTH_USER"; //if (DEBUG) echo "\n<!-- debug: $svSQL -->\n"; //echo "\n debug: $svSQL \n"; // Führe SQL-Query aus $result = @mysql_query($svSQL,$connectionID); while ($row = @mysql_fetch_array($result)) { if ($row["plz"]==$PHP_AUTH_PW) {$bAdminOK = 1;} } if (($PHP_AUTH_USER == $cfgAdminName && $PHP_AUTH_PW == $cfgAdminPw) \|\| ($bAdminOK==1)) { $bAdminOk = 1; } else { $bAdminOk = 0; Header("WWW-authenticate: basic realm=\"Admin\""); Header("HTTP/1.0 401 Unauthorized"); echo "Sie haben eine falsche Eingabe gemacht"; exit; } } } ?> Danke


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

13.02.2012, 00:51
Dark Guardian Erfahrener Benutzer Registriert seit: 10.10.2009 Beiträge: 2.630 PHP-Kenntnisse: Fortgeschritten	1. Trainmasters Hinweise beachten 2. Das hier lesen http://php.net/manual/de/features.http-auth.php 3. Das Gelesene verstehen 4. Umsetzen. __________________ "Alles im Universum funktioniert, wenn du nur weißt wie du es anwenden musst".

13.02.2012, 10:32
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Wer Admin ist ist in $cfgAdminName in irgendeinem der Includierten Dateien definierten Scripten festgelegt / ausgelesen. __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

13.02.2012, 10:33
Marcus77 Benutzer Registriert seit: 21.12.2011 Beiträge: 84 PHP-Kenntnisse: Anfänger	Hallo Troy aha, super Danke ! und die PW nehem ich aus der DB von meinem User

13.02.2012, 10:49
Marcus77 Benutzer Registriert seit: 21.12.2011 Beiträge: 84 PHP-Kenntnisse: Anfänger	Hallo na ich will eh weg von dem, da es ja nicht mal PHP Zukunftstauglich ist ! Aber dazu muss ich mal wieder in meinen Admin rein kommen,... und für diesen ist ja das rundherum daweil nebensache: Oder

13.02.2012, 11:07
Trainmaster Erfahrener Benutzer Registriert seit: 25.05.2010 Beiträge: 852 PHP-Kenntnisse: Anfänger	Wie kann man sich selbst vom Admin-Bereich ausschließen, wenn man Zugang zu den PHP-Dateien und der Datenbank hat? Womöglich löst ein einfaches PHP-Code: `$bAdminOk = 1;` dein "Problem".