Ankündigung

Einklappen
Keine Ankündigung bisher.

Anmeldung sicher?

Einklappen

Unconfigured Ad Widget

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • chuvak
    hat ein Thema erstellt Anmeldung sicher?.

    Anmeldung sicher?

    Ich hab eine einfache Anmeldefunktion gebaut und möchte gerne wissen, ob sie Sicher genug für eine Veröffentlichung wäre:

    PHP-Code:
    <?php
    session_start
    ()

    if (isset(
    $_POST['anmelden'])) {
        if (
    htmlspecialchars($_POST['user']) == "user1" && sha1($_POST['pass']) == "7288edd0fc3ffcbe93a0cf06e3568e28521687bc") {
            
    $_SESSION['user'] = true;
        } else {
            echo 
    "Anmeldung nicht erfolgreich";
        }
    }


    if (isset(
    $_SESSION['user'])) {
        echo 
    "Sie sind angemeldet";
    } else {
        echo 
    '<form method="post" action="pass.php">
            Username:</td><td><input type="text" name="user"><br />
            Password:</td><td><input type="password" name="pass"><br />
            <input type="submit" name="anmelden">
            </form>'
    ;
    }
    ?>
    Vielen Dank!

  • nikosch
    antwortet
    Auch das hängt von Deiner Anwendung ab. „Sicher genug“ ist da genau die richtige Formulierung.

    Einen Kommentar schreiben:


  • chuvak
    antwortet
    Ich habe nicht vor, leichtfertig mit irgendwelchen sensiblen (Anmelde)Daten umzugehen.
    Ist denn der Grundgedanke der Anmeldung richtig?
    Sind Sessions hierfür sicher genug?

    Einen Kommentar schreiben:


  • nikosch
    antwortet
    Vor allem kann man die Sicherheit eines Gesamtsystems nicht an einem Fragment beurteilen. Woher sollen wir wissen, was Du im nächsten Include mit Deiner Session tust?

    Einen Kommentar schreiben:


  • Flor1an
    antwortet
    Der Skript von dir oben ist ja sehr "harmlos". Erst WENN die Datenbank dazu kommt wird es überhaupt gefährlich. Von daher ist das wirklich wichtige nicht in diesem Thread.

    Einen Kommentar schreiben:


  • nikosch
    antwortet
    Wenn Du mir sagst, dass der Code, so wie er jetzt ist, sicher ist
    Du hast doch meine Ausführungen von oben. Und ich will gar nicht dran denken, was im echten Script steht.

    Einen Kommentar schreiben:


  • robo47
    antwortet
    Session-variablen werden serverseitig gespeichert nicht in cookies. lediglich der token zur wiedererkennung (sessionid) landet in der Url oder in einem cookie.
    ich glaub du solltest deinen kentnissstand nochmal überdenken

    Einen Kommentar schreiben:


  • BattleMaster246
    antwortet
    Ich bin jetzt zwar nicht der session Experte, aber kann man nicht die Session per JS hinzufügen, oder trifft das nur bei cookies zu?

    Einen Kommentar schreiben:


  • chuvak
    antwortet
    Das wäre eben die einzige Veränderung in meinem Code.
    Aber die restlichen Abfragen bleiben genauso. Wenn Du mir sagst, dass der Code, so wie er jetzt ist, sicher ist (und es auch so meinst), dann markiere ich diesen Beitrag als erledigt.

    Einen Kommentar schreiben:


  • nikosch
    antwortet
    Sorry, dann frage ich mich, wozu Du unsere Meinung zu diesem Code wissen willst. Ich bin raus.

    Einen Kommentar schreiben:


  • chuvak
    antwortet
    Ja, in diesem Fall stimmt das.
    Im Normallfall würden die Eingaben mit einer Datenbank verglichen werden.

    Einen Kommentar schreiben:


  • nikosch
    antwortet
    htmlspecialchars($_POST['user']) == "user1"
    Das ist Unsinn. Wie der Name schon sagt, dient die Funktion der Filterung einer HTML-Ausgabe.

    Nächste Kritik: Das Script besitzt einen undefinierten Zustand für bereits angemeldete User.

    Anmeldung nicht erfolgreich
    Sie sind angemeldet

    Einen Kommentar schreiben:


  • Gast-Avatar
    Ein Gast antwortete
    ICh vermisse irgendwie den session_start()

    Einen Kommentar schreiben:

Lädt...
X