Ist dieser Login-Code sicher?

30.06.2005, 13:10

Hi, wollte mal wissen, ob dieser Code sicher genug ist, um ein dadurch geschütztes MySQL-basiertes Adressbuch ins Internet zu stellen (wegen Datenschutz ...), sodass nur ich Zugriff habe.

PHP-Code:

  <?php

    // Adressbuch 1.0

    session_start();

    if ($_POST['user_name'] == "vorgegebener benutzername" AND $_POST['user_pass'] == "zugewiesenespasswort") {

        $_SESSION['user_online'] = 1;

        $_SESSION['user_name']      = "Max Mustermann";

        $_SESSION['user_gender'] = "Herr";

        

        header('Location: index.php');

    } else {

        session_destroy();

        

        header('Location: index.php'); 

    }

?>

Kann ich später mit demselben Script auch mehrere Benutzer eigene Adressbücher erstellen lassen? Sodass eben die jetzt vorgegebenen Werte wie Name/PW aus einer MySQL-Tabelle gelesen werden, oder wird es dann irgendwie unsicherer (könnte ja sein)?

schifti · 30.06.2005, 13:35

Zitat:

Zitat von axon

PHP-Code:

  <?php

// wenn eingeloggt...

        

        header('Location: index.php');

    } else {

        session_destroy();

        

        header('Location: index.php'); 

    }

?>

Kann ich später mit demselben Script auch mehrere Benutzer eigene Adressbücher erstellen lassen? Sodass eben die jetzt vorgegebenen Werte wie Name/PW aus einer MySQL-Tabelle gelesen werden, oder wird es dann irgendwie unsicherer (könnte ja sein)?

bei header("Location: index.php"); sollte noch die session_id mit

Ja, du kannst später die Namen/PW aus ner Mysql DB holen

Du kannst auch, statt die Daten in die Session zu schreiben es in ne DB schreiben, kommt man nicht so leicht drann wie evtl. ins /tmp Verzeichnis

Anleitung: http://php-info.org/ftopic82.html

30.06.2005, 13:40

Die session_id muss aber ja dann nur da dieses eine mal mit, die wird ja auf dem server gespeichert.
Aber es ist unglaublich unwahrscheinlich, dass jemand eine gültige session erwischt.

/temp ??

robo47 · 30.06.2005, 13:43

imho sollte die datei selbst die index.php sein, und man ruft sie normal auf, würde sie immer weiter auf sich selbst weiterleiten

btw:

www.php.net/header:

Zitat:

Note: HTTP/1.1 requires an absolute URI as argument to Location: including the scheme, hostname and absolute path, but some clients accept relative URIs. You can usually use $_SERVER['HTTP_HOST'], $_SERVER['PHP_SELF'] and dirname() to make an absolute URI from a relative one yourself:

30.06.2005, 13:47

Zitat:

Zitat von robo47

imho sollte die datei selbst die index.php sein, und man ruft sie normal auf, würde sie immer weiter auf sich selbst weiterleiten

1. Was heißt imho ?
2. Versteh ich nicht, was du meinst
3. Hab ich jetzt den absoluten Pfad angegeben

robo47 · 30.06.2005, 13:59

http://de.wikipedia.org/wiki/Imho

Zitat:

IMHO In My Humble Opinion meiner unmaßgeblichen/bescheidenen Meinung nach

sollte die dati in der das oben erwähnte script drin ist, die index.php sein, wird sie, wenn man sie ohne was aufruft, sich unendlich an sich selbst weiterleiten.

mfg
robo47

30.06.2005, 14:06

Du meinst ohne $_GET ? Ja, das stimmt, aber das finde ich imho gut so.

edit: um nochmal kurz zusammenzufassen: ist der code nun sicher genug, um online ein Adressbuch zu schützen? Bei mir lokal geht's jedenfalls super.

robo47 · 30.06.2005, 14:27

du findest eine unendliche weiterleitung eines scriptes an sich selbst gut so ?

mfg
robo47

30.06.2005, 14:28

Axo, hab's glaub erst grad gemerkt...
Des würde sich ja praktisch unendlich weiterleiten, weil ich ja nix übergebe... dann müsst ich da irgendwie was übergeben, wie z.B: Beispielname und Beispielpasswort oder so, dann müsst's gehen?

30.06.2005, 14:30

Ahh, schlagt mich bitte, diese Wetter!

Das Script ist gar nicht die index.php sondern login.php

Hab grad getestet, die Seite wird nur einmal geöffnet und jetzt weiß ich auch warum... Oh Mann, wird Zeit, dass Ferien sind

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Design und Code Trennen	TeazY	PHP Tipps 2008	29	21.05.2008 12:08
Forum Login per curl	leb0rtran	PHP Tipps 2008	1	19.03.2008 12:47
.htaccess Login über HTML Login Felder gestalten	php1	PHP-Fortgeschrittene	2	09.08.2006 13:53
Session Logout Login Navigation	TailerD	PHP Tipps 2006	10	24.06.2006 17:12
Frage zu Login	Kein Genie	PHP Tipps 2006	5	16.06.2006 12:34
phpBB Loginscript in eigenes Login Script einbinden	2wuck	PHP Tipps 2007	4	19.12.2005 23:10
Problem mit Login Script		PHP Tipps 2007	4	15.11.2005 17:29
[Erledigt] Login, LogIn, Anmelden, Einloggen -&amp;amp;amp;gt; ???		Off-Topic Diskussionen	20	14.07.2005 11:01
code aus db mit eval replacen	chief-thomson	PHP Tipps 2005-2	4	08.07.2005 15:33
Fehlersuche ! Login Script !		PHP Tipps 2005-2	3	23.06.2005 15:06
Bestätigungmail code?		PHP Tipps 2005	7	16.05.2005 13:18
[Erledigt] BB Code entfernen		PHP Tipps 2005	2	25.04.2005 15:20
login mit session id		PHP Tipps 2005	10	26.01.2005 12:32
Frame nach erfolgreichem login refreshen ?????		PHP Tipps 2004	0	29.10.2004 16:51

30.06.2005, 13:10
Gast Beiträge: n/a	Ist dieser Login-Code sicher? Hi, wollte mal wissen, ob dieser Code sicher genug ist, um ein dadurch geschütztes MySQL-basiertes Adressbuch ins Internet zu stellen (wegen Datenschutz ...), sodass nur ich Zugriff habe. PHP-Code: <?php // Adressbuch 1.0 session_start(); if ($_POST['user_name'] == "vorgegebener benutzername" AND $_POST['user_pass'] == "zugewiesenespasswort") { $_SESSION['user_online'] = 1; $_SESSION['user_name'] = "Max Mustermann"; $_SESSION['user_gender'] = "Herr"; header('Location: index.php'); } else { session_destroy(); header('Location: index.php'); } ?> Kann ich später mit demselben Script auch mehrere Benutzer eigene Adressbücher erstellen lassen? Sodass eben die jetzt vorgegebenen Werte wie Name/PW aus einer MySQL-Tabelle gelesen werden, oder wird es dann irgendwie unsicherer (könnte ja sein)?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

30.06.2005, 13:40
Gast Beiträge: n/a	Die session_id muss aber ja dann nur da dieses eine mal mit, die wird ja auf dem server gespeichert. Aber es ist unglaublich unwahrscheinlich, dass jemand eine gültige session erwischt. /temp ??

30.06.2005, 14:06
Gast Beiträge: n/a	Du meinst ohne $_GET ? Ja, das stimmt, aber das finde ich imho gut so. edit: um nochmal kurz zusammenzufassen: ist der code nun sicher genug, um online ein Adressbuch zu schützen? Bei mir lokal geht's jedenfalls super.

30.06.2005, 14:27
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	du findest eine unendliche weiterleitung eines scriptes an sich selbst gut so ? mfg robo47 __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

30.06.2005, 14:28
Gast Beiträge: n/a	Axo, hab's glaub erst grad gemerkt... Des würde sich ja praktisch unendlich weiterleiten, weil ich ja nix übergebe... dann müsst ich da irgendwie was übergeben, wie z.B: Beispielname und Beispielpasswort oder so, dann müsst's gehen?

30.06.2005, 14:30
Gast Beiträge: n/a	Ahh, schlagt mich bitte, diese Wetter! Das Script ist gar nicht die index.php sondern login.php Hab grad getestet, die Seite wird nur einmal geöffnet und jetzt weiß ich auch warum... Oh Mann, wird Zeit, dass Ferien sind