wie cookie bei login nutzen?

markuskoehler · #1 (**permalink**) 08.08.2008, 21:04

(Unter Umständen ist diese Frage nur nervig, aber mir fielen keine geeigneten Schlagwörter ein, um die weltgrößte Suchmaschine zu bemühen...)

Also: Ich würde gerne wissen, wie ich bei einem Login-System Cookies einbauen kann, so dass der User für einen bestimmten Zeitraum eingeloggt bleibt?

Vielen Dank schonmal im Vorraus,

Markus Köhler

Dyne · #2 (**permalink**) 08.08.2008, 22:23

Eine Möglichkeit wäre z.B. die uid und einen uid-passwort-hash im Cookie zu speichern.

z.B.

PHP-Code:


			
// Setzen des Cookies nach dem ersten Login

setcookie('userid', $user['uid']);
setcookie('loginhash', md5($user['uid'].$user['pass']));

// ...

// Auslesen des Cookies beim erneuten Besuch der Seite

if(isset($_COOKIE['userid'])){
  // ...
  // Passwort aus der Datenbank holen
  // ...
  if($_COOKIE['loginhash']==md5($user['uid'].$user['pass'])){
    // Logge den User ein
  }
}

Als Hash könntest du theoretisch auch nur das Passwort nehmen, aber md5-Codes sind nicht so richtig sicher, da man über Rainbow-Tables viele Codes entschlüsseln kann. Durch Hinzufügen der ID verminderst du die Wahrscheinlichkeit, dass jemand den Hash entschlüsselt. Wenn du etwas wie

PHP-Code:


			
md5($user['uid'].$user['pass'].'qwertz');

verwendest, erhöht das die Sicherheit noch mehr.
Du darfst jedoch nicht vergessen den Hash beim Setzen und beim Auslesen gleich aufzubauen (am Besten du verwendet eine Funktion).

Hoffe ich konnte helfen

markuskoehler · #3 (**permalink**) 08.08.2008, 23:02

das prinzip habe ich verstanden und verinnerlicht, vielen dank @ Dyne. Nun stellt sich mir aber die Frage, obgleich mir auch selbst klar ist, dass das wohl ziemlich blauäugig ist, aber bin wohl schon müde:

WO muss ich denn den code zum auslesen des cookies WIE einbauen, dass der User eingeloggt werden kann???

Hier mein kompletter, modifizierter Code der "validateLogin.inc.php" aus dem Tutorial von Developers Guide:

PHP-Code:


			
<?php

session_start();

// Überprüfen, ob das Formular abgeschickt wurde und ob beide Angaben gemacht wurden.

    if(isset($_POST['username'], $_POST['password']) and strcmp(trim($_POST['username']),'') != 0 and strcmp(trim($_POST['password']),'') != 0 ) {

          // Einbinden der Konfigurationsdatei

          require_once('../dbconnect/login.dbc.php');

          // Erstellen der Verbindung zur MySQL-Datenbank

          if(!$connection = mysql_connect($_config['host'], $_config['user'], $_config['password'])) {

               die('Verbindung zum Datenbankserver konnte nicht hergestellt werden.');

          };

          if(!mysql_select_db($_config['database'], $connection)) {

              die ('Die Datenbank ' . $_config['database'] . ' kann nicht verwendet werden.<br />MySQL-Error:<br />' . mysql_error());

          };

          // SQL-Anweisung an die Datenbank senden, um erstens herauszufinden, ob

          // diese Kombination von Usernamen und Passwort überhaupt existiert und

          // zweitens bei Existenz Userinformationen auszulesen

          $sql = "SELECT * FROM login WHERE username = '" . trim($_POST['username']) . "'

                      AND

                           password = '" . md5(trim($_POST['password'])) . "'";

          $res = mysql_query($sql) or die('Error[SELECT|User]:<br /><pre>' . $sql . '</pre><br />MySQL-Error: ' . mysql_error());

          // Nur wenn genau ein Datensatz selektiert wurde wird der User eingeloggt.

          // In allen anderen Fällen wird er zurück zum Loginformular geleitet.

          if(mysql_num_rows($res) != 1) {

              Header('Location: http://' . $_SERVER['HTTP_HOST'] . '?page=login_error');

              exit();

          }

          else {

             // Die userspezifischen Daten werden ausgelesen und der Session hinzugefügt

             $user = mysql_fetch_object($res);

             $_SESSION['anzahlLogins'] = $user->anzahlLogins;

             $_SESSION['email'] = $user->email;

             $_SESSION['geschlecht'] = $user->geschlecht;

             $_SESSION['vorname'] = $user->vorname;

             $_SESSION['nachname'] = $user->nachname;

             $_SESSION['username'] = $user->username;

             $_SESSION['id'] = $user->id;

             // Aktualisierung des Anzahl der Logins

             $sql = 'UPDATE login SET anzahlLogins = anzahlLogins + 1 WHERE id = ' . $user->id;

             mysql_query($sql) or die('Error[UPDATE|User]:<br /><pre>' . $sql . '</pre><br />MySQL-Error: ' . mysql_error());



             // Der Login war erfolgreich und der User wird zur Startseite des

             // passwortgeschützen Bereichs weitergeleitet

             Header('Location: http://' . $_SERVER['HTTP_HOST'] . '?page=login_success');

             exit();

          };

          

    }

    else {

          Header('Location: http://' . $_SERVER['HTTP_HOST'] . '?page=login_error');

          exit();

    };

?>

Scheppertreiber · #4 (**permalink**) 09.08.2008, 08:48

Servus,

genau das habe ich gerade in der Mangel, es funzt mittlerweile auch gut.

Das Cookie besteht bei mir aus Namen, Passwort, Datum/Zeit und dem MD5.
Das ganze noch ein wenig verschlüsselt damit es nicht lesbar ist. Das Cookie
hat dann halt mal einige 100 Zeichen ... macht aber nischt.

Gesetzt wird das Cookie mit

Code:

document.cookie =

Beim Aufruf einer Seite lade ich das Cookie, mache einen "internen Login" und
überprüfe dann wie groß die Zeitabweichung ist. Ist die größer als 120 sec gibt's
ein Good Bye.

fox · #5 (**permalink**) 09.08.2008, 10:15

Zitat:

Zitat von Scheppertreiber

Gesetzt wird das Cookie mit

Code:

document.cookie =

Du sprichst hier aber von Javascript, Markus will das ja mit PHP lösen.

Das Cookie kannst du mit setcookie setzen, mit der Superglobalen $_COOKIE beim nächsten Skriptaufruf dann auslesen.

PHP-Code:


			
          else {

             // Die userspezifischen Daten werden ausgelesen und der Session hinzugefügt

             $user = mysql_fetch_object($res);

             $_SESSION['anzahlLogins'] = $user->anzahlLogins;

             $_SESSION['email'] = $user->email;

             $_SESSION['geschlecht'] = $user->geschlecht;

             $_SESSION['vorname'] = $user->vorname;

             $_SESSION['nachname'] = $user->nachname;

             $_SESSION['username'] = $user->username;

             $_SESSION['id'] = $user->id;

             // Aktualisierung des Anzahl der Logins

             $sql = 'UPDATE login SET anzahlLogins = anzahlLogins + 1 WHERE id = ' . $user->id;

             mysql_query($sql) or die('Error[UPDATE|User]:<br /><pre>' . $sql . '</pre><br />MySQL-Error: ' . mysql_error());



             // Der Login war erfolgreich und der User wird zur Startseite des

             // passwortgeschützen Bereichs weitergeleitet



// hier dein cookie setzen



             Header('Location: http://' . $_SERVER['HTTP_HOST'] . '?page=login_success');

             exit();

          };

          

    }

Bei allen anderen Seiten musst du dann überprüfen, ob dein Cookie vorhanden ist. Verwende am besten eine Art Hash, speichere *niemals* das Passwort im Klartext in einem Cookie. Außerdem können Cookies manipuliert werden.

Im Prinzip brauchst du dich garnicht mit den Cookies rumzuschlagen, wenn du Sessions verwendest. Die werden nämlich vollautomatisch in einem Cookie gespeichert (oder alternativ per URL übertragen) und laufen nach einem bestimmten Zeitraum ab.

Dyne · #6 (**permalink**) 09.08.2008, 10:44

Ich habe es so verstanden, dass ein Benutzer nach einer größeren Dauer (z.B. nach einem Tag) automatisch wieder einloggen kann. (Wie es z.B. auch hier im Forum ist.)

Für die Verwaltung eines Besuchs sollten auf jeden Fall Cookie-Sessions verwendet werden.

Was ich in meinem obigen Beitrag beschrieben habe, soll nur den Relogin nach Ablauf der Session (häufig 15 Minuten) ermöglichen.

netspy · #7 (**permalink**) 14.08.2008, 09:55

Zitat:

Zitat von Dyne

PHP-Code:


			
  // Passwort aus der Datenbank holen

Ein Passwort sollte niemals in einer Datenbank gespeichert werden. In der Datenbank sollte immer nur der Hash-Wert (MD5 oder besser SHA) stehen.

Mario

Unsk1ll3d · #8 (**permalink**) 15.08.2008, 16:27

Ist $_COOKIE nicht von register_globals abhängig?

Ich würde entweder ein RAW-Cookie mit einem Hashwert setzen (und diesen temporär als SID Hashwert nutzen) oder das Cookie parsen lassen, ohne dafür $_COOKIE zu verwenden.

PHP: http_parse_cookie - Manual

Als Hash-Methode würde ich schon fast zu RSA greifen, aber dies benötigt wieder "extra" httpd-Module, alternativ sha1(), da md5 mittlerweile nichts mehr taugt, dank den Nvidia GPUs und deren OpenSource-Treiber, siehe dazu für die Anwendungen im botnet einfach auf plain-text.info nach

Link zu md5 on GPUs (naja, einer von vielen): http://majuric.org/software/cudamd5/

Grüßel,
Unsk1ll3d

netspy · #9 (**permalink**) 15.08.2008, 16:32

Zitat:

Zitat von Unsk1ll3d

Ist $_COOKIE nicht von register_globals abhängig?

Nein.

Mario

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Cookie lesen, zu kompliziert!	cavebird	Serveradministration und serverseitige Scripte	14	01.12.2009 12:25
Problem mit dem Positionieren der Login Div	Cybertronic	CSS	26	06.10.2009 21:51
SESSION / COOKIE - Konflikte	poppihasi	Serveradministration und serverseitige Scripte	1	23.12.2007 13:29
Cookie für Login	mooonshadow	Serveradministration und serverseitige Scripte	5	25.09.2006 15:09
Gesetzen Cookie sofort erkennen?	psycho_dmr	Serveradministration und serverseitige Scripte	7	26.04.2006 18:46