|
|||
Nochmal: Ist dieses Login-Script sicher
Hallo..
Auch mich würde interessieren, ob mein Login-Script sicher ist... Die Technik dahinter ist recht simpel... Es wäre nett, wenn Du mal drüber schauen könntest, ob ich irgendwas nicht bedacht habe! Hier der Code: PHP-Code:
Die dazugehörigen Funktionen login_sys_admin_check() zum Überprüfen von Username/Passwort und f_ilter_input() zum Filtern der _POST Variablen: PHP-Code:
Irgendwelche Lücken oder Unzulänglichkeiten ersichtlich? Gruß Geändert von code_junkie (03.11.2007 um 16:04 Uhr) |
Sponsored Links |
|
|||
Warum neuer Thread?
Und etwas besser erläutern könntest du das Ganze auch! MfG
__________________
|
Sponsored Links |
|
||||
Und ich würde dir folgendes empfehlen:
PEAR :: Manual :: Coding Standards Ich empfinde deinen Code als sehr schwer lesbar. |
|
|||
Ja warum ein neuer Thread.. Wenn in einem Thread über verschiedene Scripte gesprochen wird, wird das ein wenig unübersichtlich, dachte ich mir.
Ich werde jetzt ein paar mehr Kommentare einfügen und etwas whitespace einfügen, um es besser lesbar zu machen. |
|
|||
Hoffe mit den Änderungen entspricht das jetzt ungefähr deinen Vorstellungen inta.
nochmal @ct2oo4: In dem anderen aktuellen Thread wird ja ein durchaus nicht unkompliziertes Verfahren allein zur Hashbildung angewandt... Insofern interessiert es mich schon, ob solch einfache Prüfungen wie bei mir ausreichend sind oder nicht. Eigentlich kann ich mir kaum vorstellen wie man da herum kommen könnte, daher wundert es mich ein wenig, dass andere Scripte teilweise einen großen Aufwand betreiben.. (Damit meine ich jetzt nicht explizit das Script im angesprochenem Thread.. eher generell.) Nun ja, ich lasse mich gerne eines besseren belehren! Gruß Geändert von code_junkie (03.11.2007 um 15:49 Uhr) |
|
|||
Ich komme mit meinem Code ohne Leerzeilen wunderbar zurecht, und bin Fan von Kurzschreibweisen wie (expr ? true : false) oder <?=$foo?>
Aber wenn ich hier um Rat frage, denk ich mir, sollte ich mich auf die Befragten einstellen Das mit dem LIKE ist mir auch gerade aufgefallen, als ich im anderen Thread las, dass LIKE % und _ als Sonderzeichen akzeptiert. Ist schon ein "=" draus geworden. Zum Verschlüsseln ... da stehe ich auf deinem Standpunkt: eine Einweg-Verschlüsselung reicht. Was haltet Ihr denn von solchen Verfahren zur Hashbildung - übertrieben oder notwendig? Als Beispiel: Portable PHP password hashing framework Zitat:
Das wird nur auf der Sitemap ausgegeben a la "schon x mal angemeldet, ich hoffe sie finden sich zurecht." Also .. belanglos (ps: Wird natürlich nicht unvalidiert ausgegeben.) Gruß Geändert von code_junkie (03.11.2007 um 16:29 Uhr) |
|
||||
Verschlüsselungen können gewöhnlich auch wieder entschlüsselt werden, was bei Hash-Werten jedoch nicht der Fall ist. Deswegen ist es auch falsch, hier von einer Verschlüsselung zu sprechen.
Allgemein ist es jedoch nicht nötig, ein Kennwort zu verschlüsseln, da auch Hash-Werte die Identität eines eingegebenen Kennworts verifizieren können. Sind dies zusätzlich so genannte Salted-Hash-Werte, können sie auch nicht mit den Hash-Werten anderer Kennwörter verglichen werden um so mögliche identische Kennwörter auf unterschiedlicher Systemen festzustellen. Ich benutze da gerne folgende Funktion, bei der der Salt-Wert zusätzlich zufällig ist, wodurch jeder Aufruf ein anderen Hash-Wert erzeugt: PHP-Code:
__________________
Markus Wulftange |
|
||||
Ich hab mich ne ganze Weile gefragt wie du später wieder an das salt kommst, bevor ich gesehen hab, dass du es dem Hash voranstellst. Schicke Funktion, gut ausgeknobelt, es lohnt sich diese Methode zu übernehmen
|
Sponsored Links |
|
|||
Deine Funktion ist so definiert:
PHP-Code:
Bist du dir hier bei den übergebenen Variablen sicher? PHP-Code:
|
Sponsored Links |
|
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
PHP Login Script | newbie88 | Serveradministration und serverseitige Scripte | 10 | 21.05.2011 14:45 |
Login Script verändern | andre-ne | Serveradministration und serverseitige Scripte | 13 | 08.04.2011 17:39 |
Login Script | bluub | Serveradministration und serverseitige Scripte | 4 | 11.01.2010 18:08 |
PHP Script mit GET-Parametern als Img-Src | Ares | Serveradministration und serverseitige Scripte | 2 | 13.09.2008 21:19 |
PHP Login Script | Pixel Design | Serveradministration und serverseitige Scripte | 19 | 19.01.2007 13:36 |