[newbie88]

Hallo erstmal,

ich hab ein Loginscript für meine Seite als Login für einen geschützten Bereich
aus dem Internet und wollte mal fragen wie sicher dieser ist.

Code:

login.html

<html>
<head>
<title>Passwort</title>
</head>
<body>
 <form method="post" action="login.php">
<h1>Login Bereich</h1> 
Benutzername: <br />
<input type="text" name = "user">
<br />

Passwort: <br />
<input type="text" name = "password">
<br /><br />

<input type="submit" value="Anmelden">
</form>

</body>

</html>

login.php

<?php

$username1 = "hans";
$username2 = "josef";
$userpw = "hansjosef";


//if (isset($_POST['user'])) 
$user = $_POST['user'];

//if (isset($_POST['password']))
 $password = $_POST['password'];


{
if ($user == $username1 AND $password == $userpw)

{
	echo "Hallo $username1 Schön das du mal wieder vorbei schaust :)";
}

else 

{
	echo "Falsches Passwort oder Benutzername eingegeben. Bitte korrigiere deine eingabe <a href='login.html'>Hier</a>";

}	
}
	

?>

Da das ganze später einmal nur mit 2 Benutzernamen und einem Passwort laufen soll dachte ich mir wäre es ein wenig umständlich dafür eine MySql Tabelle anzulegen und da der Geschützte Bereich nur eine Seite Beträgt
brauche ich auch das Passwort nicht in einer Session zu speichern wenn ich das richtig sehe.

Hoffe das hat keine Einbusen auf die Sicherheit.

[philosapiens]

Hallo,

ich halte es für sehr unsicher. Du prüfst ja gar keine Eingabe.

Hier etwas Lesestoff zum Thema:

phpBuddy.eu - Login Systeme von Einfach bis Profi

Stöbere mal auch in den anderen Rubriken dieser Seite, sehr aufschlussreich wie ich finde.

[Praktikant]

Er braucht die Eingaben nicht prüfen, bei den Skript. Er gibt davon nichts wieder aus und er verarbeitet es auch nicht in einem SQL-Statement. Ich würde es aber trotzdem mit htmlspecialchars() prüfen.

Ich denke, dein Skript macht nicht besonders viel Sinn. Du sagst, du hast nur eine Seite. Irgendwann werden es sicherlich mal zwei Seiten sein und dann brauchst du schon eine Session. Bau es lieber gleich richtig. Dann kannst du Benutzer auch nach einer Zeit wieder automatisch abmelden. Bei deinem Skript musst du dich bei jedem Aufruf wieder anmelden, das nervt dich sicherlich bald. Kannst du nur mit einer Session umgehen.

Zu guter letzt: Lager deine "Benutzerdatenbank" lieber aus.

[newbie88]

Erst mal danke für die vielen nützlichen Beiträge von euch

Zum Praktkant hinter dem Script soll eigendlich nur ein Zugriffszähler für die Seite angelgt werden. Sprich das man dort angeziegt wird wann das letzte mal und wie viele Leute schon auf der Seite waren. Nichts weiter interessantes aber muss ja nicht jeder sehen. Aber ganz unrecht hast du damit nicht falls einem doch noch Sachen einfallen lohnt es sich mit Sessions zu arbeiten. Da es nur den Betreiber und und den Programmierer der Seite gibt bleibt es bei 2 Usern
deswegen eine Datenbank anlegen???

Zu philosapiens danke für deinen Link der ist wirklich hilfreich werd ich mir nen Lesezeichen von machen

[Praktikant]

Zitat:

Zitat von newbie88

Da es nur den Betreiber und und den Programmierer der Seite gibt bleibt es bei 2 Usern
deswegen eine Datenbank anlegen???

Nein, aber auch ein Flatfile kann als Datenbank dienen. Und das solltest du auslagern.
Was mir noch einfällt: Jeder Benutzer sollte sein eigenes Passwort haben. Zurzeit kann sich auch nur der Benutzer mit $username1 anmelden.

[laborix]

Zitat:

Zitat von Praktikant

... Ich würde es aber trotzdem mit htmlspecialchars() prüfen....

Und wie gehst du mit folgenden Fall um:

Login: Müller
pwd: h&%Pü+-

Das habe ich mal ausprobiert, aber ist bei UTF-8 voll in die Hose gegangen

[Praktikant]

Klappt auch bei UTF-8 vollig problemfrei, selbst mit deiner Kombination.

[laborix]

Dann habe ich wohl irgendwo etwas fehlerhaft umgesetzt, werde meine Login-Klasse noch durchtesten.

Zur Zeit entferne ich manuell mit str_replace ungewünschte Zeichen/Zeichenketten, mal sehen

[Praktikant]

Naja. Ich entferne bei meinen Logins nichts selber. Ich prüfe in der Regel auch nicht auf htmlspecialchars() sondern auf mysql_real_escape_string(), verschlüssel das Passwort, setzte den Salt aus der Datenbank dran und vergleiche die verschlüsselten Strings. In der Regel reicht das, da ich weder Benutzername, noch Passwort wieder ausgebe - ausgenommen die Kombination war falsch. Dann steht der Benutzername wieder im Textfeld.

[laborix]

Das mit dem Salt Wert bin ich noch am Experimentieren, wobei ich mich hier immer frage, ob man einmal verschlüsselt oder zweimal (mit Salt Wert).

Laut einigen Internet Seiten ist es anscheinend möglich, unter bestimmten Voraussetzung, je nach Verschlüsselungmethode (zum Beispiel SHA1), dieses zu knacken. Mit zweifach und Salt geht das eventuell nicht mehr

Ob ich bereit bin, diesen Aufwand zu treiben, weiss ich nicht.