Login-Script sicher?

x-muchacho · 16.05.2010, 22:33

ich habe ein login-script geschrieben und wollte euch fragen, was ihr davon haltet.

PHP-Code:

  <?php

function saltPassword($password, $salt) {

    return hash('sha256', $password . $salt);

}

 
$user = "user";

$password = "pass";

$userID = 5121;

$salt = $userID;

$saltedHash = saltPassword($password, $salt);

?>

<html>

<head>

<title>Login-Script Test</title>

</head>

<body>

<?php

if($_POST["username"] == $user && ($saltedHash == saltPassword($_POST['password'], $salt))) {

    if (isset($_POST['submit'])) {

        echo 'Benutzer und Passwort stimmen überein<p>';

        echo 'saltet Kennwort für '. $password . ' --> ' . $saltedHash . '<p>';

        echo 'Datei "md5.php" herunterladen: <a href=md5.rar>klick hier</a>';

    }

    else {

        echo 'FALSCH';

    }

}

else {

?>

<form name="kontaktformular" action="<?=$_SERVER['PHP_SELF'];?>" method="post">

<center>

    <table>

        <tr>

            <td>Login-Daten:</td>

            <td>Name: user; Kennwort: pass</td>

        </tr>

            <td id="weg">Dein Name:</td>

            <td id="weg"><input name="username" type="text"></td>

        </tr>

        <tr>

            <td id="weg">Dein Kennwort:</td>

            <td id="weg"><input name="password" type="password"></td>

        </tr>

        <tr>

            <td colspan="2"><br><center><input type="submit" value="Abschicken" name="submit"></center></td>

        </tr>

    </table>

</center>

</form>

<?php

}

?>

</body>

</html>

Ich würde gerne von euch wissen, was ihr bezüglich des Login-Scripts haltet:

* ob es nach eurer Meinung nach sicher genug ist,
* ob es Verbesserungsvorschläge gibt, die es noch sicherer machen
* ob ihr mir etwas empfehlen könnt.

Danke für eure Antworten

Flor1an · 16.05.2010, 22:45

1. Daten die du vom Formular nutzt erst überprüfen ob sie auch existieren und gesetzt sind.
2. nicht $_SERVER['PHP_SELF'] verwenden

Ansonsten kann man wenig dazu sagen. Du nutzt weder ne Datenbank noch Sessions. Von daher ist der spannende Teile nicht vorhanden. Was du hast ist im Endeffekt nur die Abfrage ob Username und Passwort überein stimmen.

Chriz · 16.05.2010, 22:46

Nichts, weil die Datei ja nicht passwortgeschützt ist. Ohne Session kann man das ganze auch nicht wirklich Login-Bereich nennen, da du ja eigentlich nur einen statischen, ungeschützten Link generierst. Den könnte man jetzt nem Kumpel schicken und der könnte sich das ganze herunterladen.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Script Login system mit Registrierung+aktivierungsmail	SkyX	PHP Tipps 2010	1	03.02.2010 18:57
Php Login & Register Script	lamopius	PHP Tipps 2009	5	12.01.2010 18:43
Sicherheit bei PHP Login Script	taurus	PHP Tipps 2009	9	27.09.2009 01:46
Login Script für externes Programm	RedShakal	PHP Tipps 2009	13	21.09.2009 15:45
Scriptsuche Suche ein LogIn Script	bayway	Scriptbörse	27	16.09.2009 21:08
Free login script for all	Marti95.	Scriptbörse	17	12.05.2009 21:21
Scriptsuche Login Script	flower01	Scriptbörse	4	21.02.2009 20:12
Programmierer für Login Script gesucht	flower01	Beitragsarchiv	9	21.02.2009 13:23
Login Script mit Gruppenrichtlinien?	MatzeMuc86	Scriptbörse	6	04.01.2009 11:29
Login Script mit if-Abfrage für Rechte (in vbdg mit mySQL)	haubna	PHP Tipps 2008	9	18.08.2008 14:03
Suche Login Script		PHP Tipps 2006	6	02.03.2006 11:09
PHP / MySQL \| Login Script Problem		PHP Tipps 2006	15	17.02.2006 12:26
Login Script : Addon???	Chrisber	PHP Tipps 2005-2	0	27.09.2005 16:11
Login Script...		Beitragsarchiv	1	16.08.2005 02:21
Login Script		PHP Tipps 2005-2	7	02.07.2005 04:53

16.05.2010, 22:33
x-muchacho Benutzer Registriert seit: 31.12.2009 Beiträge: 38 PHP-Kenntnisse: Anfänger	Login-Script sicher? ich habe ein login-script geschrieben und wollte euch fragen, was ihr davon haltet. PHP-Code: <?php function saltPassword($password, $salt) { return hash('sha256', $password . $salt); } $user = "user"; $password = "pass"; $userID = 5121; $salt = $userID; $saltedHash = saltPassword($password, $salt); ?> <html> <head> <title>Login-Script Test</title> </head> <body> <?php if($_POST["username"] == $user && ($saltedHash == saltPassword($_POST['password'], $salt))) { if (isset($_POST['submit'])) { echo 'Benutzer und Passwort stimmen überein<p>'; echo 'saltet Kennwort für '. $password . ' --> ' . $saltedHash . '<p>'; echo 'Datei "md5.php" herunterladen: <a href=md5.rar>klick hier</a>'; } else { echo 'FALSCH'; } } else { ?> <form name="kontaktformular" action="<?=$_SERVER['PHP_SELF'];?>" method="post"> <center> <table> <tr> <td>Login-Daten:</td> <td>Name: user; Kennwort: pass</td> </tr> <td id="weg">Dein Name:</td> <td id="weg"><input name="username" type="text"></td> </tr> <tr> <td id="weg">Dein Kennwort:</td> <td id="weg"><input name="password" type="password"></td> </tr> <tr> <td colspan="2"><br><center><input type="submit" value="Abschicken" name="submit"></center></td> </tr> </table> </center> </form> <?php } ?> </body> </html> Ich würde gerne von euch wissen, was ihr bezüglich des Login-Scripts haltet: * ob es nach eurer Meinung nach sicher genug ist, * ob es Verbesserungsvorschläge gibt, die es noch sicherer machen * ob ihr mir etwas empfehlen könnt. Danke für eure Antworten


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

16.05.2010, 22:45
Flor1an da schreibt der ElePHPant Registriert seit: 18.06.2008 Beiträge: 8.903 PHP-Kenntnisse: Fortgeschritten	1. Daten die du vom Formular nutzt erst überprüfen ob sie auch existieren und gesetzt sind. 2. nicht $_SERVER['PHP_SELF'] verwenden Ansonsten kann man wenig dazu sagen. Du nutzt weder ne Datenbank noch Sessions. Von daher ist der spannende Teile nicht vorhanden. Was du hast ist im Endeffekt nur die Abfrage ob Username und Passwort überein stimmen.

16.05.2010, 22:46
Chriz Moderator Registriert seit: 11.05.2008 Beiträge: 6.269	Nichts, weil die Datei ja nicht passwortgeschützt ist. Ohne Session kann man das ganze auch nicht wirklich Login-Bereich nennen, da du ja eigentlich nur einen statischen, ungeschützten Link generierst. Den könnte man jetzt nem Kumpel schicken und der könnte sich das ganze herunterladen. __________________ "Nuschel ich?" - "Was?"