htaccess basiertes bzw ganz sicheres loginsystem

phpfortgeschrittener · 29.08.2004, 19:17

hi@all,
da ich gemerkt habe, dass man mein altes, was ich sonst immer benutze, loginscript total unsicher ist und sich dort jeder die logindaten klauen kann, wollte ich mal fragen, ob jemand ein tutorial zu einem ganz sicheren loginscript hat.
kann auch .htaccess basiert sein is egal hauptsache es ist sicher.
Danke im vorraus.
MfG,
WasserDragoon.

imported_Ben · 29.08.2004, 19:21

http://www.tutorials.de/tutorials9684.html

wird immer wieder gerne von mir gepostet. sicherlich schon zum 20.mal.

phpfortgeschrittener · 29.08.2004, 19:23

hehe wie lustig das ist ja gerade das...oder war es nicht das alte was ich hatte...
hmm kein plan mehr.
hat das script jemand getestet und ist das auch ganz sicher?
MfG,
WasserDragoon.

EDIT: so wie ich die beiden tutorials vergleiche alt und neu sehe ich keinen aber auch überhaupt keinen unterschied...

imported_Ben · 29.08.2004, 19:26

wie kann bitte bei dieser methode passwörter "klauen"?

phpfortgeschrittener · 29.08.2004, 19:28

kein plan wie das jemand gemacht hatte aufjedenfall hatte es mir jemand erzählt

29.08.2004, 19:50

Die Parameter der sql-Abfrage werden nicht abgesichert.
Damit ist das SKript anfällig für Angriffe, wie unter http://www.dclp-faq.de/q/q-sql-injection.html beschrieben.

Ausserdem wird LIKE verwendet, aber das %-Zeichen wird nicht ausgefiltert. Damit kann ich nicht nur das Passwort eines Benutzers, sondern das aller gleichzeitig abtesten.
user: % ; Passwort: abcde && irgendein Benutzer hat dieses saublöde Passwort -> erfolgreiche Anmeldung.
Damit muss ich zwar immer noch eine brute-force-Attacke ausführen, aber mit reichlich viel größeren Chancen, da ich halt immer alle Benutzer gleichzeitig auf ein Passwort abteste.

Da am Ende des Textes

Zitat:

* Wenn euch irgendwelche Fehler an dem Script auffallen oder Kritiken, Verbesserungsvorschläge oder sonst was abzugeben sind, meldet euch bei mir per eMail oder ICQ.

steht, werde ich das einfach mal machen ...sobald ich mich da anmelden kann

Waq · 29.08.2004, 20:07

Zitat:

Zitat von phpfortgeschrittener

hat das script jemand getestet und ist das auch ganz sicher?

"Ganz sicher" ist schwierig umzusetzen. Dazu müsste man nämlich erstmal grundsätzlich mit SSL-Verschlüsselung arbeiten, denn eine unverschlüsselte Übertragung kann nie wirklich sicher sein. Aber so lange es nicht um Geld geht (Shop, ebay...) ist das eigentlich nicht nötig.

Das zweite grosse Sicherheitsproblem ist der Mensch, in diesem Fall die Benutzer. Diese Sicherheitslücke "auszumerkzen" dürfte nicht in deinem Interesse liegen.

phpfortgeschrittener · 29.08.2004, 20:07

ich bin dort angemeldet bei tutorials.de sag mir was ich machen muss ich mach es und werde dann hir ins forum posten.
damit dieses loginsystem endlich mal verbessert wird...
Danke@all.
MfG,
WasserDragoon.

imported_Ben · 29.08.2004, 20:10

hi.
ich nehme den link eigentlich auch nur gerne, weil er das prinzip meiner ansicht nach sehr gut erklärt.
da man ja sowieso nicht nur abtippen sollte habe ich jetzt mit etwas eigenständiger überlegung gerechnet.

naja. egal.

Quadaptor · 29.08.2004, 20:13

wie kann jemand das passwort klauen?
einfach gehashed in der db ablegen und $_POST['user'] auf max. 16 zeichen begrenzen. so wäre es unmögich, das passwort per sql zu ändern.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
htaccess: Bestimmte IP oder Passwortabfrage	webbi	Server, Hosting und Workstations	2	19.10.2006 10:57
htaccess in php		PHP Tipps 2007	17	22.11.2005 13:40
htaccess Weiterleitung bei Subdomains		Beitragsarchiv	2	02.08.2005 15:09
htaccess will ned	ggfan	Server, Hosting und Workstations	1	31.07.2005 15:09
[Erledigt] htaccess 2 Zugänge => Weitergabe an PHP^		PHP-Fortgeschrittene	2	23.07.2005 13:29
allgemeine frage \| mysql und htaccess	notyyy	Datenbanken	13	18.05.2005 21:01
Neuer Strato Server apache 2 Mod Rewrite & htaccess Prob	Stemmi	Server, Hosting und Workstations	4	02.05.2005 00:29
[Erledigt] htaccess Probleme auf EINEM PC (NT4 / IE5.5)		Server, Hosting und Workstations	1	02.02.2005 11:15
Schutz mit htaccess, dennoch Zugriff seitens PHP		PHP Tipps 2005	1	20.01.2005 10:52
PDF Generator mit htaccess Problem	imported_dex	PHP Tipps 2004-2	1	25.11.2004 10:47
htaccess + sessions!	Broadcast	PHP-Fortgeschrittene	4	29.09.2004 10:07
automatischer htaccess login		PHP Tipps 2004	0	12.09.2004 17:09
htaccess und redirect mit IF verzweigung	Novan	Server, Hosting und Workstations	1	11.09.2004 18:00
[Erledigt] PHP + htaccess		PHP-Fortgeschrittene	6	28.08.2004 19:23
[Erledigt] htaccess Login / Logout		PHP Tipps 2004	3	13.08.2004 15:11

29.08.2004, 19:17
phpfortgeschrittener Erfahrener Benutzer Registriert seit: 02.12.2003 Beiträge: 269	htaccess basiertes bzw ganz sicheres loginsystem hi@all, da ich gemerkt habe, dass man mein altes, was ich sonst immer benutze, loginscript total unsicher ist und sich dort jeder die logindaten klauen kann, wollte ich mal fragen, ob jemand ein tutorial zu einem ganz sicheren loginscript hat. kann auch .htaccess basiert sein is egal hauptsache es ist sicher. Danke im vorraus. MfG, WasserDragoon.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

29.08.2004, 19:21
imported_Ben Erfahrener Benutzer Registriert seit: 18.09.2003 Beiträge: 13.598 PHP-Kenntnisse: Fortgeschritten	http://www.tutorials.de/tutorials9684.html wird immer wieder gerne von mir gepostet. sicherlich schon zum 20.mal. __________________ Webentwickler-Blog - Buchbesprechung PHP Design Patterns - SQL-Antipatterns

29.08.2004, 19:23
phpfortgeschrittener Erfahrener Benutzer Registriert seit: 02.12.2003 Beiträge: 269	hehe wie lustig das ist ja gerade das...oder war es nicht das alte was ich hatte... hmm kein plan mehr. hat das script jemand getestet und ist das auch ganz sicher? MfG, WasserDragoon. EDIT: so wie ich die beiden tutorials vergleiche alt und neu sehe ich keinen aber auch überhaupt keinen unterschied...

29.08.2004, 19:26
imported_Ben Erfahrener Benutzer Registriert seit: 18.09.2003 Beiträge: 13.598 PHP-Kenntnisse: Fortgeschritten	wie kann bitte bei dieser methode passwörter "klauen"? __________________ Webentwickler-Blog - Buchbesprechung PHP Design Patterns - SQL-Antipatterns

29.08.2004, 19:28
phpfortgeschrittener Erfahrener Benutzer Registriert seit: 02.12.2003 Beiträge: 269	kein plan wie das jemand gemacht hatte aufjedenfall hatte es mir jemand erzählt

29.08.2004, 20:07
phpfortgeschrittener Erfahrener Benutzer Registriert seit: 02.12.2003 Beiträge: 269	ich bin dort angemeldet bei tutorials.de sag mir was ich machen muss ich mach es und werde dann hir ins forum posten. damit dieses loginsystem endlich mal verbessert wird... Danke@all. MfG, WasserDragoon.

29.08.2004, 20:10
imported_Ben Erfahrener Benutzer Registriert seit: 18.09.2003 Beiträge: 13.598 PHP-Kenntnisse: Fortgeschritten	hi. ich nehme den link eigentlich auch nur gerne, weil er das prinzip meiner ansicht nach sehr gut erklärt. da man ja sowieso nicht nur abtippen sollte habe ich jetzt mit etwas eigenständiger überlegung gerechnet. naja. egal. __________________ Webentwickler-Blog - Buchbesprechung PHP Design Patterns - SQL-Antipatterns

29.08.2004, 20:13
Quadaptor Erfahrener Benutzer Registriert seit: 21.05.2008 Beiträge: 1.531	wie kann jemand das passwort klauen? einfach gehashed in der db ablegen und $_POST['user'] auf max. 16 zeichen begrenzen. so wäre es unmögich, das passwort per sql zu ändern.