ist sowas ähnliches wie verschlüsseln einer variable mögl.?

Promaetheus · 19.10.2004, 16:41

ich habe eine datenbank mit emailadressen. wenn sich nun ein user daraus löschen, bzw. abmelden möchte, muss er die emailadresse in einem formular eingeben an welche dann ein mail, welches automatisch erzeugt wird, mit einem bestätigungslink geschickt wird andem die emailadresse angehängt wird.

der link sieht dann ca. so aus: www.xyz.com/conf_unreg.php?email=erwin@lala.com

jetzt kann natürlich jeder den link ändern und andere emailadressen eingeben. so habe ich mir gedacht dass ich die emailadresse beim verschicken verschlüsseln lasse und dann beim empfangen auf dieser conf_unreg.php wieder entschlüsseln lasse damit ich sie dann hier aus der datenbank löschen lassen kann.

sprich dass das erwin@lala.com in JASLX23%Sse umgewandelt wird, und dann wenn die seite aufgerufen wird wieder rückgewandelt in erwin@lala.com.

ich hoffe ich hab das halbwegs verständlich ausgedrückt. ;o)

wäre super wenn ihr mir da einen tipp geben könntet.

Skazi · 19.10.2004, 16:56

du musst die mail nicht einml veschlüsseln,lass einfach einen aktivierungs link aktiv werden.also er klickt wenn seine session aktiv ist auf löschen,dann ensteht ein aktivierungscode in der datenbank,also geht er auf ne seite wo halt der aktivierungscode aus der datnbank aktiv ist,ist sie aktiv wird was angezeigtmwenn nicht dann nicht....so wenn er dann da ist muss er seine emailadresse angeben und auf ok klicken dann wird überprüft ob emailadresse mit den in der url angegebenen aktivierungscode oder was auch immer mit einstimmt ,wenn ja ---> löschen wenn nein ---> fehler

edit::
ähhhh,ich hoffe ich habe dein prob verstanden

^^

19.10.2004, 17:05

wenn du nen double opt verfahren hast, isses egal was du da machst.
egal was da nun steht ob email oder id, ich würde auf jeden fall nach dem
anklicken eine bestätigungs-email an die eingegebene adresse schicken,
dann ich gehe mal davon aus, dass auf die mailbox wirklich nur der zugriff
hat, dem sie auch gehört. und wenn der kann mails wo er aufgefordert wird
das löschen seines accounts/etc zu bestätigen - einfach löschen.

ansonsten vllt über die mcrypt module oder sowas

Promaetheus · 19.10.2004, 17:11

@skazi: ich hab das schon so gelöst wie stef das meinte.

@stef: das hab ich wie gesagt genau so gelöst. ich dachte nur dass wenn der user dann das bestätigunsmail zum löschen bekommt kann der ja erstmal seine emailadresse löschen und dann noch zusätzlich eine andere eingeben indem er den link ändert.

dann dachte ich mir ich übergebe nicht die emailadresse zur bestätigung, sondern die id die die emailadresse in der datenbank hat, aber das wär ja noch idiotischer, denn dann kann der einfach hergehen und andere id´s löschen. naja. ich werd das mal so machen wie bisher, denn die arbeit wird sich ja wohl hoffentlich keiner antun und mehrere emailadressen mit diesem link probieren. ;o)

wollte das sicherheitsrisiko nur minimieren. dachte es gibt da was zum verschlüsseln. sowas wie einen passwortencrypter oder ähnliches. ;o)

19.10.2004, 17:37

naja dem darfste in der bestätigungsemail natürlich nicht die email dran hängen.
da würde ich irgend ne kombi aus user-id & reg-time oder sowas setzen,
das in einen string verwürfeln oder sowas .. also sprich: die kombi aus was,
was evtl zu erraten ist & was wo keiner weiss .. du kannst ja auch userid +
md5(userid) oder son spaß nehmen .. da isses eigentlich völlig wurscht, so
lang keiner deinen code kennt.

und selbst dann kannste da noch bissel sicherheit reinstecken, indem du an-
gaben nimmst die nur in deiner datenbank stecken.

Promaetheus · 19.10.2004, 18:03

ok. thxal. werd mal darüber nachgrübeln wie ich das am besten löse! ;o)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Variable in Datenbankentrag	asa	PHP Tipps 2008	11	22.07.2008 09:51
variable wird nich erkannt.	Marian	PHP Tipps 2006	1	03.04.2006 21:25
PHPMailer findet eigene Variable net	seejay	PHP Tipps 2007	6	04.01.2006 12:55
problem mit variable	snatch-ic	PHP Tipps 2007	5	13.12.2005 13:18
Variable durch 2. Variable bestimmen	Quagga	PHP Tipps 2005-2	11	26.10.2005 17:34
Variable als Variable behandeln ohne den Wert zu verwenden	Pain-maker	PHP Tipps 2005-2	4	11.09.2005 17:28
Session Variable oder Globale Variable ?		PHP Tipps 2005-2	3	27.06.2005 21:49
Variable in Variable	Matthiasnet	PHP Tipps 2005	6	20.03.2005 23:28
[Erledigt] Fehlermeldung unterdrücken wenn keine variable übergeben...		PHP Tipps 2005	6	20.03.2005 13:36
Variable in einer Variable	Beatbox	PHP Tipps 2005	7	15.01.2005 15:55
Warum wird Variable nicht übergeben???	Anuschka	PHP Tipps 2005	2	06.01.2005 13:22
[Erledigt] $_SESSION verwandelt variable auf einem Server in ein Array		PHP-Fortgeschrittene	2	16.12.2004 13:25
2 Schleifen durchlaufen		PHP Tipps 2004	1	14.09.2004 14:33
[Erledigt] Datei einlesen -> in Variable schreiben		PHP Tipps 2004	2	22.07.2004 11:33
variable Variablen requesten		PHP Tipps 2004	5	08.06.2004 20:34

19.10.2004, 16:41
Promaetheus Erfahrener Benutzer Registriert seit: 07.11.2003 Beiträge: 526	ist sowas ähnliches wie verschlüsseln einer variable mögl.? ich habe eine datenbank mit emailadressen. wenn sich nun ein user daraus löschen, bzw. abmelden möchte, muss er die emailadresse in einem formular eingeben an welche dann ein mail, welches automatisch erzeugt wird, mit einem bestätigungslink geschickt wird andem die emailadresse angehängt wird. der link sieht dann ca. so aus: www.xyz.com/conf_unreg.php?email=erwin@lala.com jetzt kann natürlich jeder den link ändern und andere emailadressen eingeben. so habe ich mir gedacht dass ich die emailadresse beim verschicken verschlüsseln lasse und dann beim empfangen auf dieser conf_unreg.php wieder entschlüsseln lasse damit ich sie dann hier aus der datenbank löschen lassen kann. sprich dass das erwin@lala.com in JASLX23%Sse umgewandelt wird, und dann wenn die seite aufgerufen wird wieder rückgewandelt in erwin@lala.com. ich hoffe ich hab das halbwegs verständlich ausgedrückt. ;o) wäre super wenn ihr mir da einen tipp geben könntet. __________________ mfg Alexander Haim


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

19.10.2004, 16:56
Skazi Erfahrener Benutzer Registriert seit: 20.09.2004 Beiträge: 471	du musst die mail nicht einml veschlüsseln,lass einfach einen aktivierungs link aktiv werden.also er klickt wenn seine session aktiv ist auf löschen,dann ensteht ein aktivierungscode in der datenbank,also geht er auf ne seite wo halt der aktivierungscode aus der datnbank aktiv ist,ist sie aktiv wird was angezeigtmwenn nicht dann nicht....so wenn er dann da ist muss er seine emailadresse angeben und auf ok klicken dann wird überprüft ob emailadresse mit den in der url angegebenen aktivierungscode oder was auch immer mit einstimmt ,wenn ja ---> löschen wenn nein ---> fehler edit:: ähhhh,ich hoffe ich habe dein prob verstanden ^^

19.10.2004, 17:05
Gast Beiträge: n/a	wenn du nen double opt verfahren hast, isses egal was du da machst. egal was da nun steht ob email oder id, ich würde auf jeden fall nach dem anklicken eine bestätigungs-email an die eingegebene adresse schicken, dann ich gehe mal davon aus, dass auf die mailbox wirklich nur der zugriff hat, dem sie auch gehört. und wenn der kann mails wo er aufgefordert wird das löschen seines accounts/etc zu bestätigen - einfach löschen. ansonsten vllt über die mcrypt module oder sowas

19.10.2004, 17:11
Promaetheus Erfahrener Benutzer Registriert seit: 07.11.2003 Beiträge: 526	@skazi: ich hab das schon so gelöst wie stef das meinte. @stef: das hab ich wie gesagt genau so gelöst. ich dachte nur dass wenn der user dann das bestätigunsmail zum löschen bekommt kann der ja erstmal seine emailadresse löschen und dann noch zusätzlich eine andere eingeben indem er den link ändert. dann dachte ich mir ich übergebe nicht die emailadresse zur bestätigung, sondern die id die die emailadresse in der datenbank hat, aber das wär ja noch idiotischer, denn dann kann der einfach hergehen und andere id´s löschen. naja. ich werd das mal so machen wie bisher, denn die arbeit wird sich ja wohl hoffentlich keiner antun und mehrere emailadressen mit diesem link probieren. ;o) wollte das sicherheitsrisiko nur minimieren. dachte es gibt da was zum verschlüsseln. sowas wie einen passwortencrypter oder ähnliches. ;o) __________________ mfg Alexander Haim

19.10.2004, 17:37
Gast Beiträge: n/a	naja dem darfste in der bestätigungsemail natürlich nicht die email dran hängen. da würde ich irgend ne kombi aus user-id & reg-time oder sowas setzen, das in einen string verwürfeln oder sowas .. also sprich: die kombi aus was, was evtl zu erraten ist & was wo keiner weiss .. du kannst ja auch userid + md5(userid) oder son spaß nehmen .. da isses eigentlich völlig wurscht, so lang keiner deinen code kennt. und selbst dann kannste da noch bissel sicherheit reinstecken, indem du an- gaben nimmst die nur in deiner datenbank stecken.

19.10.2004, 18:03
Promaetheus Erfahrener Benutzer Registriert seit: 07.11.2003 Beiträge: 526	ok. thxal. werd mal darüber nachgrübeln wie ich das am besten löse! ;o) __________________ mfg Alexander Haim