Login für verschiedene Shopuser

maccoder · 18.08.2006, 17:32

Hallo Forum!

Vielleicht mag meine Frage sich etwas merkwürdig anhören, aber es
geht um ein Login für mehrere Shopuser.

Beim Login habe ich es elegant gelöst, in dem der Account und Shopnamen
identisch sind.

Zum besseren Verständnis der Code:

PHP-Code:

  <?php

include 'verbindung.php';

 
$account = $_POST["account"];

$pass = $_POST["pass"];

 
$abfrage = "SELECT account,pass FROM account WHERE account LIKE '$account' LIMIT 1";

$ergebnis = mysql_query($abfrage);

$row = mysql_fetch_object($ergebnis);

 
if($row->pass == $pass)

    {

    $_SESSION["account"] = $account;

    echo "<meta http-equiv='refresh' content='0;url=http://xxxxxx.xxx/$account/admin/useradmin.php'>";

    }

else

    {

    echo "<meta http-equiv='refresh' content='0;url=http://xxxxx.xxx' target='_top'>";

    }

 
?>

Damit ist gewährleistet, das der User des Shop auch ausschließlich in seinen Adminbereich des Shops gelangt und nicht bei einen anderen Shop. Soweit, sogut.

Jetzt die Abfrage im der Datei "useradmin.php":

PHP-Code:

  <?php

session_start();

if(!isset($_SESSION['account']))

   {

   echo "<meta http-equiv='refresh' content='0;url=http://xxxxxx.xxx/'>";

   }

?>

Und hier beginnt das Problem. Ich habe versuchsweise mich bei einen anderen Shop eingeloggt und in der Adresszeile den Usernamen ausgetauscht
www.xxxx.xxx/lucky/admin/useradmin.php
anstatt
www.xxxx.xxx/black/admin/useradmin.php

Und damit komme ich in jeden Shop, sofern ich selber registriert bin.

Wie kann ich das verhindern?

MfG
maccoder

andy · 18.08.2006, 19:04

Du solltest nicht nur mit isset Prüfen, sondern auch ob's der Gleiche ist.

Nochwas: Dein Script hat ne Sicherheitslücke:
http://forum.developers-guide.net/sh...t=688#post6010

maccoder · 20.08.2006, 14:47

Hallo Andy!

Recht herzlichen dank für deine Antwort.

Besonders möchte ich mich für deinen Hinweis bedanken, was
die Sicherheitslücke angeht.

Ich bin jetzt eh dabei die Sicherheit zu erhöhen, wozu ebenfalls
eine tägliche Datenbanksicherung gehört.

Natürlich zählt auch dazu, das ich die Eingabeformulare besser sichere.

Das andere Problem habe ich ebenfalls gelöst.

MfG
maccoder

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] 2 verschiedene Zielseiten nach Login	ChrisP	PHP Tipps 2008	6	23.06.2008 15:23
[Erledigt] Login erstellen	coraplanet	PHP Tipps 2008	33	21.04.2008 16:49
Forum Login per curl	leb0rtran	PHP Tipps 2008	1	19.03.2008 12:47
Etwas komplexerer Login --> Keine Angst, Suche benutzt	dethlef14	PHP Tipps 2006	7	02.10.2006 00:35
.htaccess Login über HTML Login Felder gestalten	php1	PHP-Fortgeschrittene	2	09.08.2006 13:53
Session Logout Login Navigation	TailerD	PHP Tipps 2006	10	24.06.2006 17:12
Frage zu Login	Kein Genie	PHP Tipps 2006	5	16.06.2006 12:34
phpBB Loginscript in eigenes Login Script einbinden	2wuck	PHP Tipps 2007	4	19.12.2005 23:10
Problem mit Login Script		PHP Tipps 2007	4	15.11.2005 17:29
Login Bereich		PHP Tipps 2005-2	12	15.08.2005 23:27
[Erledigt] Login, LogIn, Anmelden, Einloggen -&amp;amp;amp;gt; ???		Off-Topic Diskussionen	20	14.07.2005 11:01
login mit session id		PHP Tipps 2005	10	26.01.2005 12:32
[Erledigt] Zurück-Button beim Login		PHP Tipps 2005	7	25.01.2005 17:22
login überprüfung		PHP Tipps 2004	7	23.08.2004 11:21
Login		PHP Tipps 2004	9	13.08.2004 11:10

18.08.2006, 17:32
maccoder Erfahrener Benutzer Registriert seit: 17.07.2005 Beiträge: 100	Login für verschiedene Shopuser Hallo Forum! Vielleicht mag meine Frage sich etwas merkwürdig anhören, aber es geht um ein Login für mehrere Shopuser. Beim Login habe ich es elegant gelöst, in dem der Account und Shopnamen identisch sind. Zum besseren Verständnis der Code: PHP-Code: <?php include 'verbindung.php'; $account = $_POST["account"]; $pass = $_POST["pass"]; $abfrage = "SELECT account,pass FROM account WHERE account LIKE '$account' LIMIT 1"; $ergebnis = mysql_query($abfrage); $row = mysql_fetch_object($ergebnis); if($row->pass == $pass) { $_SESSION["account"] = $account; echo "<meta http-equiv='refresh' content='0;url=http://xxxxxx.xxx/$account/admin/useradmin.php'>"; } else { echo "<meta http-equiv='refresh' content='0;url=http://xxxxx.xxx' target='_top'>"; } ?> Damit ist gewährleistet, das der User des Shop auch ausschließlich in seinen Adminbereich des Shops gelangt und nicht bei einen anderen Shop. Soweit, sogut. Jetzt die Abfrage im der Datei "useradmin.php": PHP-Code: `<?php session_start(); if(!isset($_SESSION['account'])) { echo "<meta http-equiv='refresh' content='0;url=http://xxxxxx.xxx/'>"; } ?>` Und hier beginnt das Problem. Ich habe versuchsweise mich bei einen anderen Shop eingeloggt und in der Adresszeile den Usernamen ausgetauscht www.xxxx.xxx/lucky/admin/useradmin.php anstatt www.xxxx.xxx/black/admin/useradmin.php Und damit komme ich in jeden Shop, sofern ich selber registriert bin. Wie kann ich das verhindern? MfG maccoder


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

18.08.2006, 19:04
andy Erfahrener Benutzer Registriert seit: 08.05.2005 Beiträge: 814	Du solltest nicht nur mit isset Prüfen, sondern auch ob's der Gleiche ist. Nochwas: Dein Script hat ne Sicherheitslücke: http://forum.developers-guide.net/sh...t=688#post6010

20.08.2006, 14:47
maccoder Erfahrener Benutzer Registriert seit: 17.07.2005 Beiträge: 100	Hallo Andy! Recht herzlichen dank für deine Antwort. Besonders möchte ich mich für deinen Hinweis bedanken, was die Sicherheitslücke angeht. Ich bin jetzt eh dabei die Sicherheit zu erhöhen, wozu ebenfalls eine tägliche Datenbanksicherung gehört. Natürlich zählt auch dazu, das ich die Eingabeformulare besser sichere. Das andere Problem habe ich ebenfalls gelöst. MfG maccoder