|
|||
Ist das Login-Script sicher?
Hallo zusammen,
für mein aktuelles Projekt habe ich mir eine Userverwaltung aufgabut. Nun bin ich gerade dabei diese bezüglich Sicherheit zu überprüfen. Ich poste jetzt hier mal das Login und das Logoutscript und würde von euch gerne wissen, ob es dort noch Sicherheitslücken gibt. PHP-Code:
PHP-Code:
Muss ich die Eingabe des Users (also Nickname und PWD) noch irgendwie weiter validieren? |
Sponsored Links |
|
||||
Nö, ist soweit ok. Allerdings kannst du dir das Abfangen von % und _ sparen. Check lieber gegen, ob der Username und das Passwort gleich der Eingabe sind und setz noch ein LIMIT 1 in deine Query. SELECT * solltest du grundlegend nie tun, auch wenn es "bequem" ist - wähl die Spalten aus, die du wirklich brauchst und nicht "alles".
Was ist saltTheHash für eine Funktion? md5 oder sha1 Verschlüsselung?
__________________
“My software never has bugs. It just develops random features ...” » DevShack - die Website des freien Webentwicklers Boris Bojic |
Sponsored Links |
|
|||
Hallo Boris,
ein paar Gegenfragen: 1. user_nickname ist auf UNIUE gesetzt, deshalb kann die SQL-Abfrage doch immer nur ein Ergebnis liefern. Bringt das LIMIT 0,1 denn dann was? Hätte das zur Folge, dass er nach dem ersten und damit auch logischerweise dem einzigen Treffer die Suche dann sofot abbricht? 2. Das hier von dir verstehe ich net ganz. Was meinst du damit? Zitat:
Als Verschlüsselung nutze ich momentan sha1(). Würdest du md5() nehmen? |
|
||||
Zu 1. Dass das Feld Unique ist, wusste ich nicht. Dennoch erwartest du ja nur ein Ergebnis, daher würde ich immer ein LIMIT 1 dazu setzen - sicher ist sicher.
Zu 2. Na du ermittelst mit der Query den Usernamen und Passwort ... und lässt das halt mit der Eingabe aus dem Formular gegenchecken, beides. Ich weiß nicht, was deine Funktion saltTheHash macht. Ob du darin sha1 oder md5 benutzt, ist dir überlassen. Sha1 ist halt länger
__________________
“My software never has bugs. It just develops random features ...” » DevShack - die Website des freien Webentwicklers Boris Bojic |
|
|||
Punkt 1: Done
Punkt 2: Kapier ich immer noch nicht. Schreib mal bitte kurz in Pseudo-Code was du meinst. Meine Funktion saltTheHast() PHP-Code:
Geändert von spacegaier (03.11.2007 um 14:49 Uhr) |
|
|||
Ich hab doch gar keine Sessionvariable user_nickname ?!?
Ich poste nochmal das ganze Script. Vielleicht hast du dich nur verkuckt. Und noch ne Frage: mysql_real_escape_string ist doch nur da nötig, wo Eingaben vom Nutzer für eine DB-Abfrage gebraucht werden, oder? PHP-Code:
|
|
||||
er meint nicht $_SESSION oder $_POST und antatt stripslashes solltest du mysql_real_escape_string da diese Funktion den String speziell für Mysql Abfragen Escapet.
Gruß Timo
__________________
Um weitere Erklärungen eingeblendet zu bekommen, drücken Sie bitte die Tastenkombination Alt + F4 |
|
|||
Nutze ich doch?!?
PHP-Code:
|
Sponsored Links |
|
||||
Ich meine, dass du nicht nur den Benutzernamen, sondern auch das Passwort aus der DB holen sollst (WHERE user=bla AND passwort=lblabal) und diese beiden mit den vom User angegebenen Usernamen und Passwort (die in $_POST stehen) vergleichen sollst.
__________________
“My software never has bugs. It just develops random features ...” » DevShack - die Website des freien Webentwicklers Boris Bojic |
Sponsored Links |
Themen-Optionen | |
Ansicht | |
|
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
PHP Login Script | newbie88 | Serveradministration und serverseitige Scripte | 10 | 21.05.2011 15:45 |
Login Script verändern | andre-ne | Serveradministration und serverseitige Scripte | 13 | 08.04.2011 18:39 |
Login Script | bluub | Serveradministration und serverseitige Scripte | 4 | 11.01.2010 19:08 |
PHP Script mit GET-Parametern als Img-Src | Ares | Serveradministration und serverseitige Scripte | 2 | 13.09.2008 22:19 |
PHP Login Script | Pixel Design | Serveradministration und serverseitige Scripte | 19 | 19.01.2007 14:36 |