PHP Seite mit code schützen - php.de

X

Simuletsplay

Dabei seit: 21.10.2018

Beiträge: 94
#1

PHP Seite mit code schützen

20.12.2018, 14:36

Hallo Zusammen!

Ich habe eine kleine Frage:
Ich habe vor, meine Webseite mit einem Code zu schützen, der aber gelöscht wird, nachdem er benutzt wird.
Ich habe bereits den Code Generator in meinem Interface
Und das Loginformular

Code-Generator: code_create.php

PHP-Code:

<?php $code = md5(mt_rand()); $code = substr($code, 0, 8); echo "$text"; ?>

Login: code.php

PHP-Code:

<?php $uc = $_POST['user_code']; include 'code_create.php'; echo $code ?> <!DOCTYPE html> <html> <head> <title>Code</title> </head> <body> <form method="post"> <input type="text" name="user_code"> <input type="submit"> </form> <?php if ($uc == $code) { echo "Korrekt!"; } else { echo "Falsch!"; } ?> </body> </html>

Ich brauche noch eine Variante zum abspeichern... Habe da an eine Datenbank gedacht...
Ich hätte jetzt vor, die beiden Dateien nicht zu "verbinden" ich würde bei der code_crate.php die Codes so setzen, dass wenn ein Button betätigt wird, der Code generiert und in die Datenbank eingefügt wird.

In der code.php würde ich zuerst die Abfrage der Datenbank machen und dann den abgleich der Codes...

Hättet ihr andere Vorschläge?

Hinweis: Ich bin PHP-Anfänger und kann schlecht nach Videos o.a. Tutorials arbeiten. Außerdem wurde zu diesem Thema nicht gefunden... Also nichts, wie ich mir das vorgestellt habe! Meine beste lern-Methode ist und bleibt 'learning-by-doing'!

______________________________________________

Mit freundlichen Grüßen

Simuletsplay
Stichworte: -
chim

Dabei seit: 27.01.2015

Beiträge: 412
#2

20.12.2018, 15:12

Soll es sicher sein?
Soll es immer eine unique nummer sein? - Auch bei random kann es irgendwann mal sein das Werte doppelt sind.

http://php.net/manual/en/function.uniqid.php
Kommentar
Simuletsplay

Dabei seit: 21.10.2018

Beiträge: 94
#3

20.12.2018, 19:55

Ich habe ja einen 8-stelligen Code.... Das ganze System wird maximal 20mal im Jahr genutzt!
Kommentar
protestix

Dabei seit: 30.06.2016

Beiträge: 7719
#4

20.12.2018, 21:24
Zuletzt geändert von protestix; 20.12.2018, 21:39.

Du machst einen Denkfehler.
Nicht wie oft du dein Ferienhaus nutzt ist von Bedeutung, sondern wie einfach es der Einbrecher hat hinein zu kommen.

8 Stellen, ob als Passwort oder Authentifizierungscode gelten heute als nicht sicher. Nimm also mindestens 10 Stellen 12 sind noch besser 32 sind optimal.

TEST:

PHP-Code:

<?php var_dump( md5(microtime(true)) ); var_dump( md5(microtime(true)) ); var_dump( bin2hex(openssl_random_pseudo_bytes(16)) ); var_dump( bin2hex(openssl_random_pseudo_bytes(16)) ); ?>

Siehe auch https://www.php.de/forum/webentwickl...36#post1544636
Kommentar
Simuletsplay

Dabei seit: 21.10.2018

Beiträge: 94
#5

21.12.2018, 19:21

Hallo!

Ich habe mich jetzt doch gegen den Code-Generator entschieden!

Ich habe jetzt in meiner code_create.php folgendes:

PHP-Code:

<?php $pdo = new PDO('mysql:host=localhost;dbname=code', 'AUSGEBLENDET', 'AUSGEBLENDET'); $code = $_POST['code']; ?> <!DOCTYPE html> <head> <title>Generiere den Code!</title> <meta charset="utf-8"> <head> <body> <form action="" method="post"> <input type="text" name="code"> <input type="submit"> </form> <?php $abfrage = $dbConnect->query("INSERT INTO code(code) VALUES('$code')"); //Überprüfung ob die Abfrage erfolgreich war if($abfrage) { ?> <p>Erfolgreich!</p> <?php } else { ?> <p>Fehler!</p> <?php } ?> </body>

und in der code.php

PHP-Code:

<?php $pdo = new PDO('mysql:host=localhost;dbname=code', 'AUSGEBLENDET', 'AUSGEBLENDET'); $code = $pdo->query("SELECT code FROM code"); $uc = $_POST['user_code'] ?> <!DOCTYPE html> <html> <head> <title>Code</title> </head> <body> <form method="post"> <input type="text" name="user_code"> <input type="submit"> </form> <?php if ($uc == $code) { echo "Korrekt!"; } else { echo "Falsch!"; } ?> </body> </html>

Aber immer, wenn ich in der code.php den Code eingebe, den ich auch in der code_create.php eingegeben habe, kommt "Falsch!" Wie es ja in Zeile 22 auch sein soll

PHP-Code:

echo "Falsch!";

...

Habe ich irgendwas falsch gemacht?

Datenbank ist auf TEXT und Länge auf 12
_______________
MfG

Simuletsplay
Kommentar
tk1234

Dabei seit: 30.12.2014

Beiträge: 2630
#6

21.12.2018, 20:42

Zitat von Simuletsplay Beitrag anzeigen

Aber immer, wenn ich in der code.php den Code eingebe, den ich auch in der code_create.php eingegeben habe, kommt "Falsch!"

Logisch. $pdo != $dbConnect und $pdo->query liefert keinen einzelnen Wert.
Kommentar
basti1012

Dabei seit: 23.01.2018

Beiträge: 304
#7

22.12.2018, 04:01

Ich habe mal an Frage hierzu

Zitat von Simuletsplay Beitrag anzeigen

PHP-Code:

$code = $pdo->query("SELECT code FROM code");

.

Ist es sinnvoll eine Tabelle und der Spalte den gleichen Namen zu geben?
Ich dachte immer das sowas nicht vorkommen sollte( darf ) ?
Oder spricht nix dagegen ?

Ich mach keine Rechtschreibfehler - ich schreib Freestyle!
Erreichbar in mein Javascript-Forum und in Facebook-Chat
Kommentar
protestix

Dabei seit: 30.06.2016

Beiträge: 7719
#8

22.12.2018, 07:16

Darf man machen, obwohl ich es immer versuchen würde zu vermeiden. Allerdings sollte das Wort code in Backticks `code` stehen zumal es sich hier um ein Schlüsselwort handelt.
Kommentar
jonah88

Dabei seit: 21.12.2018

Beiträge: 61
#9

22.12.2018, 09:02

Wenn du Codes oder geheime Daten in einer externen Datei speicherst, und die per

Code:

include()

einbindest, kannst du die Datei mit den Infos schützen, indem du der Datei eine Endung wie
.mid

.exe (auch das geht!)

.gif

.jp(e)g

.docx

gibst. Include() ist das egal, welche Endung es ist.
Kommentar
protestix

Dabei seit: 30.06.2016

Beiträge: 7719
#10

22.12.2018, 09:13

Das ist nicht zu empfehlen. Daten die nicht per HTTP-Request zugänglich sein sollen packt man ausserhalb des document root oder man sperrt das Verzeichnis komplett mit einer htacess (Apache Server) Datei, zum Beispiel ein Bilderverzeichnis, etc.
1 Likes
Kommentar
tk1234

Dabei seit: 30.12.2014

Beiträge: 2630
#11

22.12.2018, 09:44

Zitat von jonah88 Beitrag anzeigen

Wenn du Codes oder geheime Daten in einer externen Datei speicherst, und die per

Code:

include()

einbindest, kannst du die Datei mit den Infos schützen, indem du der Datei eine Endung wie […] gibst. Include() ist das egal, welche Endung es ist.

Und was genau soll das bringen? Wenn die Dateien per http erreichbar sind (was sie nicht sein sollten wie protestix schon schrieb) ist das sogar kontraproduktiv da der Code in der Datei bei einem Direktaufruf nicht mehr ausgeführt wird sondern 1:1 ausgeliefert wird - und den Inhalt kann man dann ja problemlos anschauen.
Kommentar

Vorherige Weiter

Lädt...

X