Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

php Passwortschutz mit if und then

Mitglied: deluxel

deluxel (Level 1) - Jetzt verbinden

19.04.2006, aktualisiert 20.04.2006, 9807 Aufrufe, 11 Kommentare

Ich wolte mal fragen ob der folgende php script sicher ist als passwortschutz.

<?php
if (pw==test) {?> der html script <?}
?>

Würde gerne wissen ob der script sicher ist und welchen script ich besser nehmen solte und wie es (wen es möglich ist) so ein script geknackt werden kann (außer mit einer brute force)
Mitglied: Schrottie
19.04.2006 um 15:20 Uhr
Wass willst du machen nur eine Seite nach dem PW ausgeben oder z.B.: ein Admin Center?
Bitte warten ..
Mitglied: fachinformatiker
19.04.2006 um 15:23 Uhr
Sicher ? Wenn du das Passwort so im Klartext in den php-Code schreibst ? Du weisst schon, dass man den Code bei PHP jederzeit lesen kann ?
Bitte warten ..
Mitglied: deluxel
19.04.2006 um 15:38 Uhr
Es soll für ein Admin Center sein oder in einnen bereich wo wichitge passwörter stehen solte also sicher sein

Dann zu fachinformatiker wie kam man jederzeit den Code auslesen (kan es sein das du es mit javascript verwegstelst?)?
Bitte warten ..
Mitglied: Nippie
19.04.2006 um 22:20 Uhr
Das script wie es da steht, kann mann einfach auslesen...Besser wäre es wenn du das pw auf eine unbekannte seite hinterlegst...Das ist aber auch unsicher.

Wie sieht es mit .htaccess aus (Das ist auch gaaaaaaaaaaaaaaaanz einfach)


mfg nippie
Bitte warten ..
Mitglied: Enclave
19.04.2006 um 22:31 Uhr
Moin,

@fachinformatiker:

Es ist nicht möglich(auf keine Art und weise) den PHP-Code einer Seite auszulesen es sei den man kennt das FTP-Passwort oder sonstigen Zugang zu der Datei(oder BruteForce).

@deluxel:

Es ist teilweise sicher. Denn die Datei auf der das Passwort steht ist nicht geschützt, d.h.:

Wenn ich jetzt den Ordner habe "admin" und dort sind vollgende Dateien drinn:

- index.php (if --> then abrfage)
-menu.php

Jetzt ist die Methode zwar sicher aber wenn ich jetzt auf die Idee komm in der Adresszeile die Datei menu.php anzuschreiben wird das funktionieren. Das einzige was du machen könntest die Abfrage und das Menü alles in einer Datei zu speichern dann könntest du das eventuell mit den POST-daten regeln.

Sonst bleibt dir wohl nur die Möglichkeit mit Sessions oder Cookies.


Sofern du aber einen Server hast der .htaccess zuläst und die Benutzer fest sind(also keine Anmeldung durch phpscripte) kannst du das so lösen. Ansonsten ist das hier nen schönes Script:

Powie's Anmeldescript

Das ist zwar eigentlich für was anderes aber das ist ja egal


Mfg Enclave
Bitte warten ..
Mitglied: pi314
20.04.2006 um 10:12 Uhr
Moin zusammen,

nochmal kurz zum "offenen PHP":
PHP-Code ist nicht auszulesen! Wie auch?
PHP wird serverseitig ausgeführt und liefert HTML zurück, der dann auf dem Client angezeigt wird.
An das Script kommt man also nur - wie mein Vorschreiber schon sagt - wenn man direkt auf den Server zugreifen kann.


Zur eigentlichen Frage:

Wenn sich hier verschiedene Benutzer anmelden sollen, würde ich eine MySQL-DB einsetzen.
Hier kannst du die verschiedenen Benutzer und deren Passwörter speichern.
Die PWD würde ich als MD5-Verschlüsselung speichern. So kann auch ein Benutzer, der Zugriff auf die DB hat, nicht die Passwörter erkennen, da diese Verschlüsselung nicht umkehrbar ist.
PHP stellt hier die Funktion md5( String str ) zur Verfügung.

Die Formulardaten (Passwort, Benutzer, etc.) musst du mit der POST-Methode übertragen, da es
  1. schöner aussieht (sonst hast den ganzen Summs in der Adresszeile)
  2. sicherer ist...

Um das ganze aber sicher zu machen, auf jeden Fall das HTTPS-Protokoll verwenden.

Ansonsten kannst du nur mit if...then solche Abfragen auf Richtigkeit machen, mir würde da jetzt keine andere Funktion einfallen (auser case o. switch o. wie das in PHP heißt )

Nach erfolgreicher Anmeldung bleibt dir aber nichts anderes übrig, eine Session zu verwenden, da sonst - s.o. - einfach durch Eingabe in die Adresszeile der Client auf die Seite kommt.... (womit der Schutz fürn A..... wäre )

Da würde ich einfach eine Datei z.B. sessionCheck.php machen, die du dann in jede deiner Center-Seiten am Anfang includen kannst. Sie überprüft nur, ob die Session-Variable gültig ist; wenn ja, wird die Seite angezeigt, wenn nicht... dann halt nicht:
Beispiel:
01.
session_start(); 
02.
if( $_SESSION[ 'loggedon'] != 1 ) { 
03.
   sleep( 3 ); 
04.
   echo( "So nicht, mein Freund" ); 
05.
   exit; 
06.
07.
...hier der eigentliche Code
Hoffe, ich konnte die einige Anregungen geben...

so long,
pi
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:20 Uhr
Die idee mit .htacces hate ich auch schon wolte es aber ohne machen da ich es mehr zum lernen mache und auch ander Wege kennenlernen möchte ich habe er jetz so

1. In einen Formular wird nach passwort und pw abgefragt
2. Das Formular wird in einer andern Datei übergeben
3. Duch "if (pw==test AND user==admin){der hatml text}" geschützt

Ist es so möglich für einen user der ich nicht kenen (d.h. ohne ftp ssh usw passwrörter) die eingabe zu knacken? Und was solte ich verbessern ich denke mal das ich noch md5 einbauen werde (das sagt mir aber nicht were nicht schlecht wen ihr mir sagen köntet wie ich die pw´s verschlüsel und endschlüßel)
Bitte warten ..
Mitglied: Schrottie
20.04.2006 um 17:32 Uhr
01.
$original_passwort = "dc647eb65e6711e155375218212b3964"; // Passwort mit md5 verschlüsselt 
02.
 
03.
$eingegebenes_passwort = md5($pw); 
04.
 
05.
if($eingegebenes_passwort == $original_passwort && $user=="admin") 
06.
07.
  //QUELLTEXT: 
08.
}
mit md5 verschlüsselte Strings können meines Wissens nicht entschlüsselt werden.

Schrottie
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:35 Uhr
und wie verschlüsel ich die?
also woher weis ich was zB test in md5 bedeuten würde?
Bitte warten ..
Mitglied: Schrottie
20.04.2006 um 17:38 Uhr
das steht da doch:

md5();

Wenn du wissen willst was "test" verschlüsselt heißt:



<?php
echo md5("test"); // Gibt den String "test" verschlüsselt aus.
?>
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:59 Uhr
aso versteh schon
thx
Bitte warten ..
Ähnliche Inhalte
VB for Applications
If Then Next
gelöst Frage von AximandVB for Applications12 Kommentare

Hallo, gibt es eigentlich eine Möglichkeit den nächsten Durchlauf einer Schleife vorzeitig zu initiieren? Hier also, wenn Zelle i,3 ...

Batch & Shell
If .then in einer Batch
gelöst Frage von NewNoobBatch & Shell2 Kommentare

Hallo, ist es möglich ,dass in einer batch eine ift then abfrage stattfinden kann und zwar habe ich eine ...

Batch & Shell
Get-Aduser - If then else???
gelöst Frage von MuHMuHBatch & Shell2 Kommentare

Hallo Zusammen, ich exportiere mit nachfolgendem Code (nachfolgende ein kleiner Auszug) Daten aus dem ADS in eine CSV-Datei, die ...

Batch & Shell

Powershell Wenn-Dann bzw. If-Then Funktion für .csv nutzen

gelöst Frage von DelPinguinoBatch & Shell4 Kommentare

Hallo zusammen, ich habe bereits mehrfach sehr nützliche Informationen hier gefunden und bin deshalb guter Dinge, dass mir auch ...

Neue Wissensbeiträge
Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 43 MinutenAdministrator.de Feedback4 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 17 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 TagSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...