Ankündigung

Einklappen
Keine Ankündigung bisher.

Login-Script sicher?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Login-Script sicher?

    ich habe ein login-script geschrieben und wollte euch fragen, was ihr davon haltet.

    PHP-Code:
    <?php
    function saltPassword($password$salt) {
        return 
    hash('sha256'$password $salt);
    }

    $user "user";
    $password "pass";
    $userID 5121;
    $salt $userID;
    $saltedHash saltPassword($password$salt);
    ?>
    <html>
    <head>
    <title>Login-Script Test</title>
    </head>
    <body>
    <?php
    if($_POST["username"] == $user && ($saltedHash == saltPassword($_POST['password'], $salt))) {
        if (isset(
    $_POST['submit'])) {
            echo 
    'Benutzer und Passwort stimmen überein<p>';
            echo 
    'saltet Kennwort für '$password ' --> ' $saltedHash '<p>';
            echo 
    'Datei "md5.php" herunterladen: <a href=md5.rar>klick hier</a>';
        }
        else {
            echo 
    'FALSCH';
        }
    }
    else {
    ?>
    <form name="kontaktformular" action="<?=$_SERVER['PHP_SELF'];?>" method="post">
    <center>
        <table>
            <tr>
                <td>Login-Daten:</td>
                <td>Name: user; Kennwort: pass</td>
            </tr>
                <td id="weg">Dein Name:</td>
                <td id="weg"><input name="username" type="text"></td>
            </tr>
            <tr>
                <td id="weg">Dein Kennwort:</td>
                <td id="weg"><input name="password" type="password"></td>
            </tr>
            <tr>
                <td colspan="2"><br><center><input type="submit" value="Abschicken" name="submit"></center></td>
            </tr>
        </table>
    </center>
    </form>
    <?php
    }
    ?>
    </body>
    </html>
    Ich würde gerne von euch wissen, was ihr bezüglich des Login-Scripts haltet:

    * ob es nach eurer Meinung nach sicher genug ist,
    * ob es Verbesserungsvorschläge gibt, die es noch sicherer machen
    * ob ihr mir etwas empfehlen könnt.

    Danke für eure Antworten


  • #2
    1. Daten die du vom Formular nutzt erst überprüfen ob sie auch existieren und gesetzt sind.
    2. nicht $_SERVER['PHP_SELF'] verwenden

    Ansonsten kann man wenig dazu sagen. Du nutzt weder ne Datenbank noch Sessions. Von daher ist der spannende Teile nicht vorhanden. Was du hast ist im Endeffekt nur die Abfrage ob Username und Passwort überein stimmen.

    Kommentar


    • #3
      Nichts, weil die Datei ja nicht passwortgeschützt ist. Ohne Session kann man das ganze auch nicht wirklich Login-Bereich nennen, da du ja eigentlich nur einen statischen, ungeschützten Link generierst. Den könnte man jetzt nem Kumpel schicken und der könnte sich das ganze herunterladen.
      "Mein Name ist Lohse, ich kaufe hier ein."

      Kommentar

      Lädt...
      X