Ankündigung

Einklappen
Keine Ankündigung bisher.

Anmeldung sicher?

Einklappen

Unconfigured Ad Widget

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Anmeldung sicher?

    Ich hab eine einfache Anmeldefunktion gebaut und möchte gerne wissen, ob sie Sicher genug für eine Veröffentlichung wäre:

    PHP-Code:
    <?php
    session_start
    ()

    if (isset(
    $_POST['anmelden'])) {
        if (
    htmlspecialchars($_POST['user']) == "user1" && sha1($_POST['pass']) == "7288edd0fc3ffcbe93a0cf06e3568e28521687bc") {
            
    $_SESSION['user'] = true;
        } else {
            echo 
    "Anmeldung nicht erfolgreich";
        }
    }


    if (isset(
    $_SESSION['user'])) {
        echo 
    "Sie sind angemeldet";
    } else {
        echo 
    '<form method="post" action="pass.php">
            Username:</td><td><input type="text" name="user"><br />
            Password:</td><td><input type="password" name="pass"><br />
            <input type="submit" name="anmelden">
            </form>'
    ;
    }
    ?>
    Vielen Dank!


  • #2
    ICh vermisse irgendwie den session_start()

    Kommentar


    • #3
      htmlspecialchars($_POST['user']) == "user1"
      Das ist Unsinn. Wie der Name schon sagt, dient die Funktion der Filterung einer HTML-Ausgabe.

      Nächste Kritik: Das Script besitzt einen undefinierten Zustand für bereits angemeldete User.

      Anmeldung nicht erfolgreich
      Sie sind angemeldet
      --

      „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
      Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


      --

      Kommentar


      • #4
        Ja, in diesem Fall stimmt das.
        Im Normallfall würden die Eingaben mit einer Datenbank verglichen werden.

        Kommentar


        • #5
          Sorry, dann frage ich mich, wozu Du unsere Meinung zu diesem Code wissen willst. Ich bin raus.
          --

          „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
          Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


          --

          Kommentar


          • #6
            Das wäre eben die einzige Veränderung in meinem Code.
            Aber die restlichen Abfragen bleiben genauso. Wenn Du mir sagst, dass der Code, so wie er jetzt ist, sicher ist (und es auch so meinst), dann markiere ich diesen Beitrag als erledigt.

            Kommentar


            • #7
              Ich bin jetzt zwar nicht der session Experte, aber kann man nicht die Session per JS hinzufügen, oder trifft das nur bei cookies zu?


              Kommentar


              • #8
                Session-variablen werden serverseitig gespeichert nicht in cookies. lediglich der token zur wiedererkennung (sessionid) landet in der Url oder in einem cookie.
                ich glaub du solltest deinen kentnissstand nochmal überdenken
                robo47.net - Blog, Codeschnipsel und mehr
                | Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

                Kommentar


                • #9
                  Wenn Du mir sagst, dass der Code, so wie er jetzt ist, sicher ist
                  Du hast doch meine Ausführungen von oben. Und ich will gar nicht dran denken, was im echten Script steht.
                  --

                  „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                  Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                  --

                  Kommentar


                  • #10
                    Der Skript von dir oben ist ja sehr "harmlos". Erst WENN die Datenbank dazu kommt wird es überhaupt gefährlich. Von daher ist das wirklich wichtige nicht in diesem Thread.

                    Kommentar


                    • #11
                      Vor allem kann man die Sicherheit eines Gesamtsystems nicht an einem Fragment beurteilen. Woher sollen wir wissen, was Du im nächsten Include mit Deiner Session tust?
                      --

                      „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                      Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                      --

                      Kommentar


                      • #12
                        Ich habe nicht vor, leichtfertig mit irgendwelchen sensiblen (Anmelde)Daten umzugehen.
                        Ist denn der Grundgedanke der Anmeldung richtig?
                        Sind Sessions hierfür sicher genug?

                        Kommentar


                        • #13
                          Auch das hängt von Deiner Anwendung ab. „Sicher genug“ ist da genau die richtige Formulierung.
                          --

                          „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
                          Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


                          --

                          Kommentar

                          Lädt...
                          X