Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

php Passwortschutz mit if und then

Mitglied: deluxel

deluxel (Level 1) - Jetzt verbinden

19.04.2006, aktualisiert 20.04.2006, 9833 Aufrufe, 11 Kommentare

Ich wolte mal fragen ob der folgende php script sicher ist als passwortschutz.

<?php
if (pw==test) {?> der html script <?}
?>

Würde gerne wissen ob der script sicher ist und welchen script ich besser nehmen solte und wie es (wen es möglich ist) so ein script geknackt werden kann (außer mit einer brute force)
Mitglied: Schrottie
19.04.2006 um 15:20 Uhr
Wass willst du machen nur eine Seite nach dem PW ausgeben oder z.B.: ein Admin Center?
Bitte warten ..
Mitglied: fachinformatiker
19.04.2006 um 15:23 Uhr
Sicher ? Wenn du das Passwort so im Klartext in den php-Code schreibst ? Du weisst schon, dass man den Code bei PHP jederzeit lesen kann ?
Bitte warten ..
Mitglied: deluxel
19.04.2006 um 15:38 Uhr
Es soll für ein Admin Center sein oder in einnen bereich wo wichitge passwörter stehen solte also sicher sein

Dann zu fachinformatiker wie kam man jederzeit den Code auslesen (kan es sein das du es mit javascript verwegstelst?)?
Bitte warten ..
Mitglied: Nippie
19.04.2006 um 22:20 Uhr
Das script wie es da steht, kann mann einfach auslesen...Besser wäre es wenn du das pw auf eine unbekannte seite hinterlegst...Das ist aber auch unsicher.

Wie sieht es mit .htaccess aus (Das ist auch gaaaaaaaaaaaaaaaanz einfach)


mfg nippie
Bitte warten ..
Mitglied: Enclave
19.04.2006 um 22:31 Uhr
Moin,

@fachinformatiker:

Es ist nicht möglich(auf keine Art und weise) den PHP-Code einer Seite auszulesen es sei den man kennt das FTP-Passwort oder sonstigen Zugang zu der Datei(oder BruteForce).

@deluxel:

Es ist teilweise sicher. Denn die Datei auf der das Passwort steht ist nicht geschützt, d.h.:

Wenn ich jetzt den Ordner habe "admin" und dort sind vollgende Dateien drinn:

- index.php (if --> then abrfage)
-menu.php

Jetzt ist die Methode zwar sicher aber wenn ich jetzt auf die Idee komm in der Adresszeile die Datei menu.php anzuschreiben wird das funktionieren. Das einzige was du machen könntest die Abfrage und das Menü alles in einer Datei zu speichern dann könntest du das eventuell mit den POST-daten regeln.

Sonst bleibt dir wohl nur die Möglichkeit mit Sessions oder Cookies.


Sofern du aber einen Server hast der .htaccess zuläst und die Benutzer fest sind(also keine Anmeldung durch phpscripte) kannst du das so lösen. Ansonsten ist das hier nen schönes Script:

Powie's Anmeldescript

Das ist zwar eigentlich für was anderes aber das ist ja egal


Mfg Enclave
Bitte warten ..
Mitglied: pi314
20.04.2006 um 10:12 Uhr
Moin zusammen,

nochmal kurz zum "offenen PHP":
PHP-Code ist nicht auszulesen! Wie auch?
PHP wird serverseitig ausgeführt und liefert HTML zurück, der dann auf dem Client angezeigt wird.
An das Script kommt man also nur - wie mein Vorschreiber schon sagt - wenn man direkt auf den Server zugreifen kann.


Zur eigentlichen Frage:

Wenn sich hier verschiedene Benutzer anmelden sollen, würde ich eine MySQL-DB einsetzen.
Hier kannst du die verschiedenen Benutzer und deren Passwörter speichern.
Die PWD würde ich als MD5-Verschlüsselung speichern. So kann auch ein Benutzer, der Zugriff auf die DB hat, nicht die Passwörter erkennen, da diese Verschlüsselung nicht umkehrbar ist.
PHP stellt hier die Funktion md5( String str ) zur Verfügung.

Die Formulardaten (Passwort, Benutzer, etc.) musst du mit der POST-Methode übertragen, da es
  1. schöner aussieht (sonst hast den ganzen Summs in der Adresszeile)
  2. sicherer ist...

Um das ganze aber sicher zu machen, auf jeden Fall das HTTPS-Protokoll verwenden.

Ansonsten kannst du nur mit if...then solche Abfragen auf Richtigkeit machen, mir würde da jetzt keine andere Funktion einfallen (auser case o. switch o. wie das in PHP heißt )

Nach erfolgreicher Anmeldung bleibt dir aber nichts anderes übrig, eine Session zu verwenden, da sonst - s.o. - einfach durch Eingabe in die Adresszeile der Client auf die Seite kommt.... (womit der Schutz fürn A..... wäre )

Da würde ich einfach eine Datei z.B. sessionCheck.php machen, die du dann in jede deiner Center-Seiten am Anfang includen kannst. Sie überprüft nur, ob die Session-Variable gültig ist; wenn ja, wird die Seite angezeigt, wenn nicht... dann halt nicht:
Beispiel:
01.
session_start(); 
02.
if( $_SESSION[ 'loggedon'] != 1 ) { 
03.
   sleep( 3 ); 
04.
   echo( "So nicht, mein Freund" ); 
05.
   exit; 
06.
07.
...hier der eigentliche Code
Hoffe, ich konnte die einige Anregungen geben...

so long,
pi
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:20 Uhr
Die idee mit .htacces hate ich auch schon wolte es aber ohne machen da ich es mehr zum lernen mache und auch ander Wege kennenlernen möchte ich habe er jetz so

1. In einen Formular wird nach passwort und pw abgefragt
2. Das Formular wird in einer andern Datei übergeben
3. Duch "if (pw==test AND user==admin){der hatml text}" geschützt

Ist es so möglich für einen user der ich nicht kenen (d.h. ohne ftp ssh usw passwrörter) die eingabe zu knacken? Und was solte ich verbessern ich denke mal das ich noch md5 einbauen werde (das sagt mir aber nicht were nicht schlecht wen ihr mir sagen köntet wie ich die pw´s verschlüsel und endschlüßel)
Bitte warten ..
Mitglied: Schrottie
20.04.2006 um 17:32 Uhr
01.
$original_passwort = "dc647eb65e6711e155375218212b3964"; // Passwort mit md5 verschlüsselt 
02.
 
03.
$eingegebenes_passwort = md5($pw); 
04.
 
05.
if($eingegebenes_passwort == $original_passwort && $user=="admin") 
06.
07.
  //QUELLTEXT: 
08.
}
mit md5 verschlüsselte Strings können meines Wissens nicht entschlüsselt werden.

Schrottie
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:35 Uhr
und wie verschlüsel ich die?
also woher weis ich was zB test in md5 bedeuten würde?
Bitte warten ..
Mitglied: Schrottie
20.04.2006 um 17:38 Uhr
das steht da doch:

md5();

Wenn du wissen willst was "test" verschlüsselt heißt:



<?php
echo md5("test"); // Gibt den String "test" verschlüsselt aus.
?>
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:59 Uhr
aso versteh schon
thx
Bitte warten ..
Ähnliche Inhalte
VB for Applications
If Then Next
gelöst Frage von AximandVB for Applications12 Kommentare

Hallo, gibt es eigentlich eine Möglichkeit den nächsten Durchlauf einer Schleife vorzeitig zu initiieren? Hier also, wenn Zelle i,3 ...

Batch & Shell
If .then in einer Batch
gelöst Frage von NewNoobBatch & Shell2 Kommentare

Hallo, ist es möglich ,dass in einer batch eine ift then abfrage stattfinden kann und zwar habe ich eine ...

Batch & Shell
Get-Aduser - If then else???
gelöst Frage von MuHMuHBatch & Shell2 Kommentare

Hallo Zusammen, ich exportiere mit nachfolgendem Code (nachfolgende ein kleiner Auszug) Daten aus dem ADS in eine CSV-Datei, die ...

Batch & Shell

Powershell Wenn-Dann bzw. If-Then Funktion für .csv nutzen

gelöst Frage von DelPinguinoBatch & Shell4 Kommentare

Hallo zusammen, ich habe bereits mehrfach sehr nützliche Informationen hier gefunden und bin deshalb guter Dinge, dass mir auch ...

Neue Wissensbeiträge
Sicherheit

Oracle gibt kritische Updates für diverse Produkte frei (16. Oktober 2018)

Information von kgborn vor 4 StundenSicherheit

Oracle hat zum 16. Oktober 2018 eine ganze Reihe an kritischen Updates für seine Produkte freigegeben. Eine Kurzübersicht mit ...

Windows 10
FYI: Fristen beim Windows 10 Downgrade-Recht
Information von kgborn vor 4 StundenWindows 10

Möglicherweise ist das bei euch bekannt - ich habe es gerade aus einem Newsletter eines OEMs herausgefischt. Beim Downgrade-Recht ...

CMS
Freie Wähler Bayern MySQL PW online
Information von sabines vor 7 StundenCMS4 Kommentare

Die Typo3 Installation der Freien Wähler Bayern scheint wohl längere Zeit nicht mehr angefasst und/oder fehlkonfiguriert zu sein. Nach ...

Sicherheit
Adminrechte dank Bug in Intel HD Graphics Treiber
Information von DerWoWusste vor 1 TagSicherheit

Intel HD graphics 4200 und neuer (4400, 4600 520,530,620, 630,) sind auf jeden Fall betroffen und bereinigte Treiber sind ...

Heiß diskutierte Inhalte
Debian
Linux debian 9 Installation
Frage von Green14Debian15 Kommentare

Hallo zusammen, ich habe mich ein wenig mit Debian auseinandergesetzt und möchte mir eine Standard-Installation als Grundlage für andere ...

Internet
Ist diese URL denkbar (Syntax)?
gelöst Frage von departure69Internet15 Kommentare

Hallo. Der Sohn eines Arbeitskollegen hat im Gymnasium EDV-Unterricht. Leider hat er in der letzten Klassenarbeit einen Fünfer geschrieben. ...

Windows Netzwerk
Gruppenrichtlinie für einen PC deaktivieren
gelöst Frage von Florian961988Windows Netzwerk14 Kommentare

Hallo, kleines Problem und immoment finde ich dazu keine Lösung oder mir fällt nicht ein, wie ich es suche ...

Festplatten, SSD, Raid
LSI 9361 Controller, versehentlich virtual Drive am Controller gelöscht
Frage von pixel24Festplatten, SSD, Raid12 Kommentare

Hallo zusammen, gibt es hier einen Experten der sich gut mit LSI MegaRAID auskennt? Ich habe versehentlich im Controller-BIOS ...