gamerff
Aug 13, 2014
view2493
view10
0
Goto Top

Sicheres Loginsystem

GermanQuestionPHPDevelopment
Ich habe vor auf meiner Webseite ein Loginsystem einzufügen.
Wie sicher kann ich mich mit fogendem Loginsystem fühlen und was meint ihr dazu ?

http://aktuell.de.selfhtml.org/artikel/php/loginsystem/
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 246358

Url: https://administrator.de/contentid/246358

Printed on: April 16, 2024 at 20:04 o'clock

10 Comments
Latest comment
Goto Top
Member: catachan
catachan Aug 13, 2014 at 08:50:51 (UTC)
Goto Top
Hi

abgesehen von der Security müsstest du alle User im PHP File eintragen. Je nach Anzahl der Accounts wird das etwas problematisch.
Zudem steht das Passwort im KLartext im PHP File.

Sag uns einfach zusätzlich für was du das verwenden möchtest

LG
Member: gamerff
gamerff Aug 13, 2014 at 09:10:22 (UTC)
Goto Top
Ich brauch nur einen User, in den Quellcode habe ich noch hinzugefügt das das Passwort und der Username jeweils md5 verschlüsselt sind.

Als internen bereich wo ich termine und sonstige persönliche daten unseres Vereins veröffentlichen kann
Member: wiesi200
wiesi200 Aug 13, 2014 at 09:39:18 (UTC)
Goto Top
Hallo,

Für Passwort Verschlüsselung würd's diese Funktion geben.
http://php.net/manual/de/function.password-hash.php
Member: catachan
catachan Aug 13, 2014 at 09:44:32 (UTC)
Goto Top
Also ich bin kein Web-Security Spezialist, aber dadurch dass das System sehr simpel ist funktionieren viele Angriffe nicht (z.B. SQL Injection).
Aus miner Sicht sollte das passen, solange keiner Zugriff auf das PHP File selbst hat. Zusätzlich musst du noch sicherstellen dass die Seite die du aufrufst auch wirlich die auth.php inkludiert hat.

LG
Member: gamerff
gamerff Aug 13, 2014 at 09:45:17 (UTC)
Goto Top
Ich habe eine md5 verschlüsselung eingefügt also das der benutzername und das passwort nicht mehr im klartext drin stehen, würde das auch gehen ?
Member: gamerff
gamerff Aug 13, 2014 at 09:46:07 (UTC)
Goto Top
ja das habe ich bei allen internen seiten eingefügt
Member: bytecounter
bytecounter Aug 13, 2014 at 10:01:51 (UTC)
Goto Top
Also MD5 bringt heute kaum noch Sicherheit. Allerdings ist immer die Frage, was Du machst und welche Gefahr besteht bzw. welche Interessen ein Dritter haben könnte, auf Deine Seite einzudringen.
Ich würde dasd Passwort als gesalzenen Hashwert in einer eigenen Datei ausserhalb des www-root speichern. Wenn Du eh nur einen Benutzer hast, ist das recht einfach. Du kannst dir dazu ein kleines Script schreiben, welches Dir die Datei anlegt, falls Du das PW mal veressen solltest.
Schreiben und Lesen kannst Du die Datei mit file_put_contents() und file_get_contents()

vg
Bytecounter
Member: falscher-sperrstatus
falscher-sperrstatus Aug 13, 2014 at 10:05:00 (UTC)
Goto Top
Hallo Gamer,

wenn es eine Vereinswebsite ist: Nimm einfach ein fertiges CMS mit der Funktion. Das ist sicherer (weil nicht nur bei euch im Einsatz) und hat zu dem den Vorteil dass, wenn es mal nicht mehr sicher sein sollte schnell ein Update vorhanden ist. (sollte natürlich in den Auswahlprozess mit einfliessen.)

Grüße
Member: gamerff
gamerff Aug 13, 2014 at 12:07:22 (UTC)
Goto Top
Das haben mir auch schon einige geraten, aber ich kann meine webseite nicht 1 zu 1 in ein CMS umwandeln.
Member: catachan
catachan Aug 13, 2014 at 12:37:57 (UTC)
Goto Top
Du könntest natürlich auch dein Webverzeichnis mit einer .htaccess Datei schützen .....
GermanQuestionPHPDevelopment
Hotly discussed
DaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment