Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

php Passwortschutz mit if und then

Mitglied: deluxel

deluxel (Level 1) - Jetzt verbinden

19.04.2006, aktualisiert 20.04.2006, 9827 Aufrufe, 11 Kommentare

Ich wolte mal fragen ob der folgende php script sicher ist als passwortschutz.

<?php
if (pw==test) {?> der html script <?}
?>

Würde gerne wissen ob der script sicher ist und welchen script ich besser nehmen solte und wie es (wen es möglich ist) so ein script geknackt werden kann (außer mit einer brute force)
Mitglied: Schrottie
19.04.2006 um 15:20 Uhr
Wass willst du machen nur eine Seite nach dem PW ausgeben oder z.B.: ein Admin Center?
Bitte warten ..
Mitglied: fachinformatiker
19.04.2006 um 15:23 Uhr
Sicher ? Wenn du das Passwort so im Klartext in den php-Code schreibst ? Du weisst schon, dass man den Code bei PHP jederzeit lesen kann ?
Bitte warten ..
Mitglied: deluxel
19.04.2006 um 15:38 Uhr
Es soll für ein Admin Center sein oder in einnen bereich wo wichitge passwörter stehen solte also sicher sein

Dann zu fachinformatiker wie kam man jederzeit den Code auslesen (kan es sein das du es mit javascript verwegstelst?)?
Bitte warten ..
Mitglied: Nippie
19.04.2006 um 22:20 Uhr
Das script wie es da steht, kann mann einfach auslesen...Besser wäre es wenn du das pw auf eine unbekannte seite hinterlegst...Das ist aber auch unsicher.

Wie sieht es mit .htaccess aus (Das ist auch gaaaaaaaaaaaaaaaanz einfach)


mfg nippie
Bitte warten ..
Mitglied: Enclave
19.04.2006 um 22:31 Uhr
Moin,

@fachinformatiker:

Es ist nicht möglich(auf keine Art und weise) den PHP-Code einer Seite auszulesen es sei den man kennt das FTP-Passwort oder sonstigen Zugang zu der Datei(oder BruteForce).

@deluxel:

Es ist teilweise sicher. Denn die Datei auf der das Passwort steht ist nicht geschützt, d.h.:

Wenn ich jetzt den Ordner habe "admin" und dort sind vollgende Dateien drinn:

- index.php (if --> then abrfage)
-menu.php

Jetzt ist die Methode zwar sicher aber wenn ich jetzt auf die Idee komm in der Adresszeile die Datei menu.php anzuschreiben wird das funktionieren. Das einzige was du machen könntest die Abfrage und das Menü alles in einer Datei zu speichern dann könntest du das eventuell mit den POST-daten regeln.

Sonst bleibt dir wohl nur die Möglichkeit mit Sessions oder Cookies.


Sofern du aber einen Server hast der .htaccess zuläst und die Benutzer fest sind(also keine Anmeldung durch phpscripte) kannst du das so lösen. Ansonsten ist das hier nen schönes Script:

Powie's Anmeldescript

Das ist zwar eigentlich für was anderes aber das ist ja egal


Mfg Enclave
Bitte warten ..
Mitglied: pi314
20.04.2006 um 10:12 Uhr
Moin zusammen,

nochmal kurz zum "offenen PHP":
PHP-Code ist nicht auszulesen! Wie auch?
PHP wird serverseitig ausgeführt und liefert HTML zurück, der dann auf dem Client angezeigt wird.
An das Script kommt man also nur - wie mein Vorschreiber schon sagt - wenn man direkt auf den Server zugreifen kann.


Zur eigentlichen Frage:

Wenn sich hier verschiedene Benutzer anmelden sollen, würde ich eine MySQL-DB einsetzen.
Hier kannst du die verschiedenen Benutzer und deren Passwörter speichern.
Die PWD würde ich als MD5-Verschlüsselung speichern. So kann auch ein Benutzer, der Zugriff auf die DB hat, nicht die Passwörter erkennen, da diese Verschlüsselung nicht umkehrbar ist.
PHP stellt hier die Funktion md5( String str ) zur Verfügung.

Die Formulardaten (Passwort, Benutzer, etc.) musst du mit der POST-Methode übertragen, da es
  1. schöner aussieht (sonst hast den ganzen Summs in der Adresszeile)
  2. sicherer ist...

Um das ganze aber sicher zu machen, auf jeden Fall das HTTPS-Protokoll verwenden.

Ansonsten kannst du nur mit if...then solche Abfragen auf Richtigkeit machen, mir würde da jetzt keine andere Funktion einfallen (auser case o. switch o. wie das in PHP heißt )

Nach erfolgreicher Anmeldung bleibt dir aber nichts anderes übrig, eine Session zu verwenden, da sonst - s.o. - einfach durch Eingabe in die Adresszeile der Client auf die Seite kommt.... (womit der Schutz fürn A..... wäre )

Da würde ich einfach eine Datei z.B. sessionCheck.php machen, die du dann in jede deiner Center-Seiten am Anfang includen kannst. Sie überprüft nur, ob die Session-Variable gültig ist; wenn ja, wird die Seite angezeigt, wenn nicht... dann halt nicht:
Beispiel:
01.
session_start(); 
02.
if( $_SESSION[ 'loggedon'] != 1 ) { 
03.
   sleep( 3 ); 
04.
   echo( "So nicht, mein Freund" ); 
05.
   exit; 
06.
07.
...hier der eigentliche Code
Hoffe, ich konnte die einige Anregungen geben...

so long,
pi
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:20 Uhr
Die idee mit .htacces hate ich auch schon wolte es aber ohne machen da ich es mehr zum lernen mache und auch ander Wege kennenlernen möchte ich habe er jetz so

1. In einen Formular wird nach passwort und pw abgefragt
2. Das Formular wird in einer andern Datei übergeben
3. Duch "if (pw==test AND user==admin){der hatml text}" geschützt

Ist es so möglich für einen user der ich nicht kenen (d.h. ohne ftp ssh usw passwrörter) die eingabe zu knacken? Und was solte ich verbessern ich denke mal das ich noch md5 einbauen werde (das sagt mir aber nicht were nicht schlecht wen ihr mir sagen köntet wie ich die pw´s verschlüsel und endschlüßel)
Bitte warten ..
Mitglied: Schrottie
20.04.2006 um 17:32 Uhr
01.
$original_passwort = "dc647eb65e6711e155375218212b3964"; // Passwort mit md5 verschlüsselt 
02.
 
03.
$eingegebenes_passwort = md5($pw); 
04.
 
05.
if($eingegebenes_passwort == $original_passwort && $user=="admin") 
06.
07.
  //QUELLTEXT: 
08.
}
mit md5 verschlüsselte Strings können meines Wissens nicht entschlüsselt werden.

Schrottie
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:35 Uhr
und wie verschlüsel ich die?
also woher weis ich was zB test in md5 bedeuten würde?
Bitte warten ..
Mitglied: Schrottie
20.04.2006 um 17:38 Uhr
das steht da doch:

md5();

Wenn du wissen willst was "test" verschlüsselt heißt:



<?php
echo md5("test"); // Gibt den String "test" verschlüsselt aus.
?>
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:59 Uhr
aso versteh schon
thx
Bitte warten ..
Ähnliche Inhalte
VB for Applications
If Then Next
gelöst Frage von AximandVB for Applications12 Kommentare

Hallo, gibt es eigentlich eine Möglichkeit den nächsten Durchlauf einer Schleife vorzeitig zu initiieren? Hier also, wenn Zelle i,3 ...

Batch & Shell
If .then in einer Batch
gelöst Frage von NewNoobBatch & Shell2 Kommentare

Hallo, ist es möglich ,dass in einer batch eine ift then abfrage stattfinden kann und zwar habe ich eine ...

Batch & Shell
Get-Aduser - If then else???
gelöst Frage von MuHMuHBatch & Shell2 Kommentare

Hallo Zusammen, ich exportiere mit nachfolgendem Code (nachfolgende ein kleiner Auszug) Daten aus dem ADS in eine CSV-Datei, die ...

Batch & Shell

Powershell Wenn-Dann bzw. If-Then Funktion für .csv nutzen

gelöst Frage von DelPinguinoBatch & Shell4 Kommentare

Hallo zusammen, ich habe bereits mehrfach sehr nützliche Informationen hier gefunden und bin deshalb guter Dinge, dass mir auch ...

Neue Wissensbeiträge
Humor (lol)
(Part num your Hacked phone. +XX XXXXXX5200)
Erfahrungsbericht von Henere vor 16 StundenHumor (lol)1 Kommentar

Mein Handy hat aber ne ganz andere Endnummer. Muss ich mir jetzt Sorgen machen ? :-) Vielleicht betrifft es ...

Exchange Server

Letztes Update für Exchange 2016 CU9 war in gewisser Weise destruktiv

Erfahrungsbericht von DerWoWusste vor 17 StundenExchange Server6 Kommentare

Kurzer Erfahrungsbericht zu Exchange2016-KB4340731-x64 Der Exchangeserver hat wie gewöhnlich versucht, es in der Nacht automatisch zu installieren - abgesehen ...

Erkennung und -Abwehr

Neue Sicherheitslücke Foreshadow (L1TF) gefährdet fast alle Intel-Prozessoren

Information von Frank vor 1 TagErkennung und -Abwehr3 Kommentare

Eine neue Sicherheitslücke, genannt Foreshadow (alias L1TF) wurde auf der Usenix Security 18 von einem Team internationaler Experten veröffentlicht. ...

Vmware
VMware Updates gegen L1 Lücke
Information von sabines vor 1 TagVmware

Für die Vmware Produkte vCenter Server, ESXi, Workstation und Fusion stehe Updates bereit um die L1 Lücke zu schließen. ...

Heiß diskutierte Inhalte
Windows Server
Domäne einsilbig mit nur einem Namen benannt - sowie AD und MX auf einer VM Kardinalsfehler?
Frage von TomTestWindows Server48 Kommentare

Hallo liebe Freunde gepflegter Probleme, seit kurzem soll ich eine Domäne verwalten die zuvor von einem IT-Dienstleister erstellt und ...

Microsoft
VPN Verbindung kann nicht aufgebaut werden
Frage von AlexderITlerMicrosoft35 Kommentare

Hallo, Ich möchte an einem unserer PCs in unserer Tochterfirma eine VPN zu unserem Netzwerk einrichten. Das schlägt allerdings ...

Windows Server
Windows Server per Web auf Daten zugreifen und verwalten
Frage von matze2090Windows Server16 Kommentare

Hallo, ich würde gerne von außen auf meinem Windows Server zugreifen um auf meine Daten zu verwalten. Meine frage ...

DNS
Gibt es eine Art DNS Proxy?
Frage von icepietDNS16 Kommentare

Hallo Nerds, Ich würde gerne folgendes machen: ts.domain.de:3389 soll auf 1.2.3.4:3389 auflösen ts2.domain.de:3389 soll auf 1.2.3.4:3390 auflösen Gibt es ...