Anmeldung sicher?

chuvak · 24.03.2010, 16:45

Ich hab eine einfache Anmeldefunktion gebaut und möchte gerne wissen, ob sie Sicher genug für eine Veröffentlichung wäre:

PHP-Code:

  <?php
session_start()

if (isset($_POST['anmelden'])) {
    if (htmlspecialchars($_POST['user']) == "user1" && sha1($_POST['pass']) == "7288edd0fc3ffcbe93a0cf06e3568e28521687bc") {
        $_SESSION['user'] = true;
    } else {
        echo "Anmeldung nicht erfolgreich";
    }
}


if (isset($_SESSION['user'])) {
    echo "Sie sind angemeldet";
} else {
    echo '<form method="post" action="pass.php">
        Username:</td><td><input type="text" name="user"><br />
        Password:</td><td><input type="password" name="pass"><br />
        <input type="submit" name="anmelden">
        </form>';
}
?>

Vielen Dank!

ragtek · 24.03.2010, 16:48

ICh vermisse irgendwie den session_start()

nikosch · 24.03.2010, 17:24

Zitat:

htmlspecialchars($_POST['user']) == "user1"

Das ist Unsinn. Wie der Name schon sagt, dient die Funktion der Filterung einer HTML-Ausgabe.

Nächste Kritik: Das Script besitzt einen undefinierten Zustand für bereits angemeldete User.

Zitat:

Anmeldung nicht erfolgreich
Sie sind angemeldet

chuvak · 24.03.2010, 17:27

Ja, in diesem Fall stimmt das.
Im Normallfall würden die Eingaben mit einer Datenbank verglichen werden.

nikosch · 24.03.2010, 17:28

Sorry, dann frage ich mich, wozu Du unsere Meinung zu diesem Code wissen willst. Ich bin raus.

chuvak · 24.03.2010, 17:35

Das wäre eben die einzige Veränderung in meinem Code.
Aber die restlichen Abfragen bleiben genauso. Wenn Du mir sagst, dass der Code, so wie er jetzt ist, sicher ist (und es auch so meinst), dann markiere ich diesen Beitrag als erledigt.

BattleMaster246 · 24.03.2010, 17:40

Ich bin jetzt zwar nicht der session Experte, aber kann man nicht die Session per JS hinzufügen, oder trifft das nur bei cookies zu?

robo47 · 24.03.2010, 17:56

Session-variablen werden serverseitig gespeichert nicht in cookies. lediglich der token zur wiedererkennung (sessionid) landet in der Url oder in einem cookie.
ich glaub du solltest deinen kentnissstand nochmal überdenken

nikosch · 24.03.2010, 19:06

Zitat:

Wenn Du mir sagst, dass der Code, so wie er jetzt ist, sicher ist

Du hast doch meine Ausführungen von oben. Und ich will gar nicht dran denken, was im echten Script steht.

Flor1an · 24.03.2010, 19:21

Der Skript von dir oben ist ja sehr "harmlos". Erst WENN die Datenbank dazu kommt wird es überhaupt gefährlich. Von daher ist das wirklich wichtige nicht in diesem Thread.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Anmeldung verweigern - permanenter Bann	shibbo	Off-Topic Diskussionen	30	18.05.2010 12:00
Automatische Anmeldung über Method Post + Cookie + Zeitversetzter Zugriff	ZeroJoker	PHP-Fortgeschrittene	5	18.07.2009 13:59
[Erledigt] Anmeldung / Verifizierung	mattes9999	Scriptbörse	24	11.07.2009 13:54
Fehler bei der Anmeldung unter joomla	tom2ba	PHP Tipps 2009	2	25.05.2009 14:38
Anmeldung Am Domain Controller	PowerPan	PHP-Fortgeschrittene	0	28.08.2008 14:42
Anmeldung mehrerer Kunden	RoDa	Datenbanken	2	26.05.2006 23:02
Bestellung ohne Anmeldung (Hilfe bei osCommerce)		PHP Tipps 2005	2	18.04.2005 20:52
Online Anmeldung		Beitragsarchiv	4	21.02.2005 15:11
Anmeldung		PHP Tipps 2004-2	3	25.12.2004 19:48
[Erledigt] Automatische Anmeldung per Cookie		PHP-Fortgeschrittene	21	10.12.2004 08:59
Anmeldung mit PHP bei Postgres		PHP-Fortgeschrittene	2	09.07.2004 15:22
Weiterleiten nach Anmeldung	suendesizer	PHP Tipps 2004	6	09.06.2004 18:03

24.03.2010, 16:45
chuvak Benutzer Registriert seit: 04.02.2010 Beiträge: 61 PHP-Kenntnisse: Anfänger	Anmeldung sicher? Ich hab eine einfache Anmeldefunktion gebaut und möchte gerne wissen, ob sie Sicher genug für eine Veröffentlichung wäre: PHP-Code: <?php session_start() if (isset($_POST['anmelden'])) { if (htmlspecialchars($_POST['user']) == "user1" && sha1($_POST['pass']) == "7288edd0fc3ffcbe93a0cf06e3568e28521687bc") { $_SESSION['user'] = true; } else { echo "Anmeldung nicht erfolgreich"; } } if (isset($_SESSION['user'])) { echo "Sie sind angemeldet"; } else { echo '<form method="post" action="pass.php"> Username:</td><td><input type="text" name="user"><br /> Password:</td><td><input type="password" name="pass"><br /> <input type="submit" name="anmelden"> </form>'; } ?> Vielen Dank! Geändert von chuvak (24.03.2010 um 16:53 Uhr). Grund: session_start() - danke ragtek


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

24.03.2010, 16:48
ragtek Erfahrener Benutzer Registriert seit: 10.02.2009 Beiträge: 929	ICh vermisse irgendwie den session_start()

24.03.2010, 17:27
chuvak Benutzer Registriert seit: 04.02.2010 Beiträge: 61 PHP-Kenntnisse: Anfänger	Ja, in diesem Fall stimmt das. Im Normallfall würden die Eingaben mit einer Datenbank verglichen werden.

24.03.2010, 17:28
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.991 PHP-Kenntnisse: Fortgeschritten	Sorry, dann frage ich mich, wozu Du unsere Meinung zu diesem Code wissen willst. Ich bin raus. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

24.03.2010, 17:35
chuvak Benutzer Registriert seit: 04.02.2010 Beiträge: 61 PHP-Kenntnisse: Anfänger	Das wäre eben die einzige Veränderung in meinem Code. Aber die restlichen Abfragen bleiben genauso. Wenn Du mir sagst, dass der Code, so wie er jetzt ist, sicher ist (und es auch so meinst), dann markiere ich diesen Beitrag als erledigt.

24.03.2010, 17:40
BattleMaster246 Benutzer Registriert seit: 23.08.2009 Beiträge: 77 PHP-Kenntnisse: Fortgeschritten	Ich bin jetzt zwar nicht der session Experte, aber kann man nicht die Session per JS hinzufügen, oder trifft das nur bei cookies zu? __________________

24.03.2010, 17:56
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.792 PHP-Kenntnisse: Fortgeschritten	Session-variablen werden serverseitig gespeichert nicht in cookies. lediglich der token zur wiedererkennung (sessionid) landet in der Url oder in einem cookie. ich glaub du solltest deinen kentnissstand nochmal überdenken __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

24.03.2010, 19:21
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	Der Skript von dir oben ist ja sehr "harmlos". Erst WENN die Datenbank dazu kommt wird es überhaupt gefährlich. Von daher ist das wirklich wichtige nicht in diesem Thread.