Login Script: sicher oder nicht sicher?

19.02.2005, 22:45

Hallo Leute,

Ich habe ein kleines login script geschrieben und wollte einfach mal wissen ob das einigermaßen sicher ist.

Die Variablen $user und $pass werden nachher durch ein formular übergeben.
$pass wird nachher noch durch md5 verschlüsselt.

Danke

PHP-Code:

  <?php

 
include("dbconnect.php");      //Daten der Datenbank

 
$user="test";      //Der Variable $user wird ein Wert zugewiesen 

$pass="test";      //Der Variable $pass wird ein Wert zugewiesen

 
$abfrage="SELECT * FROM admin";      //Die Daten aus der Tabelle admin werden ausgelesen

$ergebnis= mysql_query($abfrage);

$erlaubt="0";      //Der Variable $erlaubt wird der Wert 0 zugewiesen

 
if ($erlaubt == "0")      //Wenn die Variable $erlaubt den Wert 0 hat, dann wird die Schleife ausgeführt

{

  while($row = mysql_fetch_array($ergebnis))      //Solange die Tabelle admin Daten enthält, solange wird diese Schleife wiederholt; Die Daten der Tabelle admin werden in ein array gepackt

  {

   if ($pass == "$row[password]" and $user == "$row[username]")      //Die Variablen $user und $pass werden mit den Daten aus der Tabelle admin verglichen

   {

    $erlaubt="1";      //Die Variable $erlaubt wird auf 1 gesetzt

   }

  }     

 if ($erlaubt == "0")      //Wenn $erlaubt immer noch 0 ist dann wird diese Schleife ausgeführt

 {

  echo "Bei der Anmeldung ist ein Fehler aufgetreten!";

 }

}

?>

axo · 19.02.2005, 23:57

warum holst du die ganzen werte erstmal aus der datenbank, um dann nur einen einzelnen wert auszulesen?

guck mal nach WHERE

und datentypen sind nicht nur was für streber.
"1" und "0" will KEIN MENSCH sehen.

PHP-Code:

  $abfrage = 'SELECT id,dings,dungs FROM admin WHERE password=\''.mysql_escape_string(md5($pass)).'\' AND 

username=\''.mysql_escape_string($user).'\'

';

$qry = mysql_query($abfrage);

$erlaubt = (mysql_num_rows($qry) > 0);

 
if(false === $erlaubt) {

  echo 'verzieh dich!';

  die();

}

// logged in.

20.02.2005, 00:10

Hi,

Danke für deine Antwort...

Also ich kenne die Abfrage mit Where und ich weiss auch das so wie ich es geschrieben habe nicht die eleganteste Lösung ist. Wollt nur wissen ob es einigermaßen sicher ist, das optimieren kommt später.

Gruß Olli

axo · 20.02.2005, 01:18

das selektieren von ALLEN werten aus der datenbank, obwohl du immer nur _genau einen_ brauchst, ist keine sache, die man später optimiert, sondern eine sache, für die du gleich am anfang erstmal mit dem lineal auf die finger geklopft kriegst. es wird kein müll absichtlich in den code gehackt, nur um später optimieren zu können.

da gibt es nichts zu optimieren. aus der datenbank werden nur genau so viele werte geholt wie gerade benötigt, und damit basta.

und zur sicherheit:
du solltest halt nicht gerade deine kreditkartennummer hinter diesem login verstecken - ansonsten ist das ganze mal'n anfang.

Orolhawion · 20.02.2005, 01:25

und so ganz nebenbei:

Zitat:

Zitat von thwoen

$pass wird nachher noch durch md5 verschlüsselt.

MD5 ist keine verschlüsselungsmethode, sondern eine checksumme eines bestimmten wertes, in deinem fall, die checksumme des übermittelten passwortes! man kann diese checksumme nicht entschlüsseln! :wink: wozu auch? es ist halt ne checksumme! sagte ich schon daß md5() ne checksumme bildet?

Apfeltyp · 20.02.2005, 04:08

Von Orolhawion:

Zitat:

MD5 ist keine verschlüsselungsmethode, sondern eine checksumme eines bestimmten wertes, in deinem fall, die checksumme des übermittelten passwortes! man kann diese checksumme nicht entschlüsseln!

Hmmm... soviel zum Thema... Also ich hab auch noch nie versucht eine "nichtverschlüsselung" zu "entschlüsseln", ihr etwa?

Corvin · 20.02.2005, 09:17

Zu dem was axo gesagt hat

http://www.php-faq.de/q/q-sql-select.html

suendesizer · 20.02.2005, 09:53

Was sicherlich Sinn macht, ist beim Eintrag der Benutzerdaten in die DB im Passwortfeld das Passwort als md5 Checksumme einzutragen. Beim Login musst du dann eben bloss einen Checksumenvergleich machen, sprich den md5 Wert des eingegeben Passwortes mit dem Wert aus der DB vergleichen.

Orolhawion · 20.02.2005, 10:28

Zitat:

Zitat von Apfeltyp

Hmmm... soviel zum Thema... Also ich hab auch noch nie versucht eine "nichtverschlüsselung" zu "entschlüsseln", ihr etwa?

eben das ist der grund dafür, daß man sie nicht entschlüsseln kann, da einfach nichts verschlüsselt wird, das war gemeint!

Apfeltyp · 20.02.2005, 18:38

Also für die die es nicht wissen und damit andere in die Irre leiten:

MD5 mag eine Checksumme sein, die aber einzig und allein dem Grund dient ein PW oder sonstiges zu verschlüsseln!!!

Für den der das anderst sieht zitiere ich gern einen einen netten Spruch: "Junge, geh googlen!"

Oder guggt einfach mal in Fachliteratur nach... http://aktuell.de.selfhtml.org/artikel/javascript/md5/ tuts auch schon.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Login Script (ohne Werbung)	Aoz	Scriptbörse	9	30.12.2007 19:41
frage zu login script	schorsch	PHP Tipps 2006	9	10.10.2006 10:16
Etwas komplexerer Login --> Keine Angst, Suche benutzt	dethlef14	PHP Tipps 2006	7	02.10.2006 00:35
Suche Login Script		PHP Tipps 2006	6	02.03.2006 11:09
Login Script		PHP Tipps 2006	4	21.02.2006 23:01
PHP / MySQL \| Login Script Problem		PHP Tipps 2006	15	17.02.2006 12:26
Sicheres Login Script mit automatischer Rückanmeldung	Pain-maker	PHP Tipps 2006	6	15.02.2006 16:13
[Erledigt] Login Script lï¿½uft nicht auf dem Server		PHP-Fortgeschrittene	10	11.11.2005 20:46
Login Script : Addon???	Chrisber	PHP Tipps 2005-2	0	27.09.2005 16:11
Login Script...		Beitragsarchiv	1	16.08.2005 02:21
[Erledigt] Verzögerung durch included Script? Umgehen?		PHP Tipps 2005-2	4	10.07.2005 19:26
Suche spezielles Login script !!!! dringend		Beitragsarchiv	5	09.07.2005 14:42
Login Script		PHP Tipps 2005-2	7	02.07.2005 04:53
Problem mit Script auf verschiedenen Servern		PHP Tipps 2005	40	22.03.2005 17:26
login script spuckt		PHP Tipps 2005	13	28.01.2005 16:37

19.02.2005, 22:45
Gast Beiträge: n/a	Login Script: sicher oder nicht sicher? Hallo Leute, Ich habe ein kleines login script geschrieben und wollte einfach mal wissen ob das einigermaßen sicher ist. Die Variablen $user und $pass werden nachher durch ein formular übergeben. $pass wird nachher noch durch md5 verschlüsselt. Danke PHP-Code: <?php include("dbconnect.php"); //Daten der Datenbank $user="test"; //Der Variable $user wird ein Wert zugewiesen $pass="test"; //Der Variable $pass wird ein Wert zugewiesen $abfrage="SELECT * FROM admin"; //Die Daten aus der Tabelle admin werden ausgelesen $ergebnis= mysql_query($abfrage); $erlaubt="0"; //Der Variable $erlaubt wird der Wert 0 zugewiesen if ($erlaubt == "0") //Wenn die Variable $erlaubt den Wert 0 hat, dann wird die Schleife ausgeführt { while($row = mysql_fetch_array($ergebnis)) //Solange die Tabelle admin Daten enthält, solange wird diese Schleife wiederholt; Die Daten der Tabelle admin werden in ein array gepackt { if ($pass == "$row[password]" and $user == "$row[username]") //Die Variablen $user und $pass werden mit den Daten aus der Tabelle admin verglichen { $erlaubt="1"; //Die Variable $erlaubt wird auf 1 gesetzt } } if ($erlaubt == "0") //Wenn $erlaubt immer noch 0 ist dann wird diese Schleife ausgeführt { echo "Bei der Anmeldung ist ein Fehler aufgetreten!"; } } ?>


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

19.02.2005, 23:57
axo Erfahrener Benutzer Registriert seit: 24.12.2004 Beiträge: 1.818	warum holst du die ganzen werte erstmal aus der datenbank, um dann nur einen einzelnen wert auszulesen? guck mal nach WHERE und datentypen sind nicht nur was für streber. "1" und "0" will KEIN MENSCH sehen. PHP-Code: `$abfrage = 'SELECT id,dings,dungs FROM admin WHERE password=\''.mysql_escape_string(md5($pass)).'\' AND username=\''.mysql_escape_string($user).'\' '; $qry = mysql_query($abfrage); $erlaubt = (mysql_num_rows($qry) > 0); if(false === $erlaubt) { echo 'verzieh dich!'; die(); } // logged in.`

20.02.2005, 00:10
Gast Beiträge: n/a	Hi, Danke für deine Antwort... Also ich kenne die Abfrage mit Where und ich weiss auch das so wie ich es geschrieben habe nicht die eleganteste Lösung ist. Wollt nur wissen ob es einigermaßen sicher ist, das optimieren kommt später. Gruß Olli

20.02.2005, 01:18
axo Erfahrener Benutzer Registriert seit: 24.12.2004 Beiträge: 1.818	das selektieren von ALLEN werten aus der datenbank, obwohl du immer nur _genau einen_ brauchst, ist keine sache, die man später optimiert, sondern eine sache, für die du gleich am anfang erstmal mit dem lineal auf die finger geklopft kriegst. es wird kein müll absichtlich in den code gehackt, nur um später optimieren zu können. da gibt es nichts zu optimieren. aus der datenbank werden nur genau so viele werte geholt wie gerade benötigt, und damit basta. und zur sicherheit: du solltest halt nicht gerade deine kreditkartennummer hinter diesem login verstecken - ansonsten ist das ganze mal'n anfang.

20.02.2005, 09:17
Corvin Erfahrener Benutzer Registriert seit: 02.04.2008 Beiträge: 2.603	Zu dem was axo gesagt hat http://www.php-faq.de/q/q-sql-select.html

20.02.2005, 09:53
suendesizer Erfahrener Benutzer Registriert seit: 01.06.2004 Beiträge: 723	Was sicherlich Sinn macht, ist beim Eintrag der Benutzerdaten in die DB im Passwortfeld das Passwort als md5 Checksumme einzutragen. Beim Login musst du dann eben bloss einen Checksumenvergleich machen, sprich den md5 Wert des eingegeben Passwortes mit dem Wert aus der DB vergleichen. __________________ If you read this message backward, Satan will force you to smoke marijuana. Gute Tutorials

20.02.2005, 18:38
Apfeltyp Erfahrener Benutzer Registriert seit: 30.11.2004 Beiträge: 129	Also für die die es nicht wissen und damit andere in die Irre leiten: MD5 mag eine Checksumme sein, die aber einzig und allein dem Grund dient ein PW oder sonstiges zu verschlüsseln!!! Für den der das anderst sieht zitiere ich gern einen einen netten Spruch: "Junge, geh googlen!" Oder guggt einfach mal in Fachliteratur nach... http://aktuell.de.selfhtml.org/artikel/javascript/md5/ tuts auch schon. __________________