Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

php Passwortschutz mit if und then

Frage Entwicklung PHP

Mitglied: deluxel

deluxel (Level 1) - Jetzt verbinden

19.04.2006, aktualisiert 20.04.2006, 9740 Aufrufe, 11 Kommentare

Ich wolte mal fragen ob der folgende php script sicher ist als passwortschutz.

<?php
if (pw==test) {?> der html script <?}
?>

Würde gerne wissen ob der script sicher ist und welchen script ich besser nehmen solte und wie es (wen es möglich ist) so ein script geknackt werden kann (außer mit einer brute force)
Mitglied: Schrottie
19.04.2006 um 15:20 Uhr
Wass willst du machen nur eine Seite nach dem PW ausgeben oder z.B.: ein Admin Center?
Bitte warten ..
Mitglied: fachinformatiker
19.04.2006 um 15:23 Uhr
Sicher ? Wenn du das Passwort so im Klartext in den php-Code schreibst ? Du weisst schon, dass man den Code bei PHP jederzeit lesen kann ?
Bitte warten ..
Mitglied: deluxel
19.04.2006 um 15:38 Uhr
Es soll für ein Admin Center sein oder in einnen bereich wo wichitge passwörter stehen solte also sicher sein

Dann zu fachinformatiker wie kam man jederzeit den Code auslesen (kan es sein das du es mit javascript verwegstelst?)?
Bitte warten ..
Mitglied: Nippie
19.04.2006 um 22:20 Uhr
Das script wie es da steht, kann mann einfach auslesen...Besser wäre es wenn du das pw auf eine unbekannte seite hinterlegst...Das ist aber auch unsicher.

Wie sieht es mit .htaccess aus (Das ist auch gaaaaaaaaaaaaaaaanz einfach)


mfg nippie
Bitte warten ..
Mitglied: Enclave
19.04.2006 um 22:31 Uhr
Moin,

@fachinformatiker:

Es ist nicht möglich(auf keine Art und weise) den PHP-Code einer Seite auszulesen es sei den man kennt das FTP-Passwort oder sonstigen Zugang zu der Datei(oder BruteForce).

@deluxel:

Es ist teilweise sicher. Denn die Datei auf der das Passwort steht ist nicht geschützt, d.h.:

Wenn ich jetzt den Ordner habe "admin" und dort sind vollgende Dateien drinn:

- index.php (if --> then abrfage)
-menu.php

Jetzt ist die Methode zwar sicher aber wenn ich jetzt auf die Idee komm in der Adresszeile die Datei menu.php anzuschreiben wird das funktionieren. Das einzige was du machen könntest die Abfrage und das Menü alles in einer Datei zu speichern dann könntest du das eventuell mit den POST-daten regeln.

Sonst bleibt dir wohl nur die Möglichkeit mit Sessions oder Cookies.


Sofern du aber einen Server hast der .htaccess zuläst und die Benutzer fest sind(also keine Anmeldung durch phpscripte) kannst du das so lösen. Ansonsten ist das hier nen schönes Script:

Powie's Anmeldescript

Das ist zwar eigentlich für was anderes aber das ist ja egal


Mfg Enclave
Bitte warten ..
Mitglied: pi314
20.04.2006 um 10:12 Uhr
Moin zusammen,

nochmal kurz zum "offenen PHP":
PHP-Code ist nicht auszulesen! Wie auch?
PHP wird serverseitig ausgeführt und liefert HTML zurück, der dann auf dem Client angezeigt wird.
An das Script kommt man also nur - wie mein Vorschreiber schon sagt - wenn man direkt auf den Server zugreifen kann.


Zur eigentlichen Frage:

Wenn sich hier verschiedene Benutzer anmelden sollen, würde ich eine MySQL-DB einsetzen.
Hier kannst du die verschiedenen Benutzer und deren Passwörter speichern.
Die PWD würde ich als MD5-Verschlüsselung speichern. So kann auch ein Benutzer, der Zugriff auf die DB hat, nicht die Passwörter erkennen, da diese Verschlüsselung nicht umkehrbar ist.
PHP stellt hier die Funktion md5( String str ) zur Verfügung.

Die Formulardaten (Passwort, Benutzer, etc.) musst du mit der POST-Methode übertragen, da es
  1. schöner aussieht (sonst hast den ganzen Summs in der Adresszeile)
  2. sicherer ist...

Um das ganze aber sicher zu machen, auf jeden Fall das HTTPS-Protokoll verwenden.

Ansonsten kannst du nur mit if...then solche Abfragen auf Richtigkeit machen, mir würde da jetzt keine andere Funktion einfallen (auser case o. switch o. wie das in PHP heißt )

Nach erfolgreicher Anmeldung bleibt dir aber nichts anderes übrig, eine Session zu verwenden, da sonst - s.o. - einfach durch Eingabe in die Adresszeile der Client auf die Seite kommt.... (womit der Schutz fürn A..... wäre )

Da würde ich einfach eine Datei z.B. sessionCheck.php machen, die du dann in jede deiner Center-Seiten am Anfang includen kannst. Sie überprüft nur, ob die Session-Variable gültig ist; wenn ja, wird die Seite angezeigt, wenn nicht... dann halt nicht:
Beispiel:
01.
session_start(); 
02.
if( $_SESSION[ 'loggedon'] != 1 ) { 
03.
   sleep( 3 ); 
04.
   echo( "So nicht, mein Freund" ); 
05.
   exit; 
06.
07.
...hier der eigentliche Code
Hoffe, ich konnte die einige Anregungen geben...

so long,
pi
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:20 Uhr
Die idee mit .htacces hate ich auch schon wolte es aber ohne machen da ich es mehr zum lernen mache und auch ander Wege kennenlernen möchte ich habe er jetz so

1. In einen Formular wird nach passwort und pw abgefragt
2. Das Formular wird in einer andern Datei übergeben
3. Duch "if (pw==test AND user==admin){der hatml text}" geschützt

Ist es so möglich für einen user der ich nicht kenen (d.h. ohne ftp ssh usw passwrörter) die eingabe zu knacken? Und was solte ich verbessern ich denke mal das ich noch md5 einbauen werde (das sagt mir aber nicht were nicht schlecht wen ihr mir sagen köntet wie ich die pw´s verschlüsel und endschlüßel)
Bitte warten ..
Mitglied: Schrottie
20.04.2006 um 17:32 Uhr
01.
$original_passwort = "dc647eb65e6711e155375218212b3964"; // Passwort mit md5 verschlüsselt 
02.
 
03.
$eingegebenes_passwort = md5($pw); 
04.
 
05.
if($eingegebenes_passwort == $original_passwort && $user=="admin") 
06.
07.
  //QUELLTEXT: 
08.
}
mit md5 verschlüsselte Strings können meines Wissens nicht entschlüsselt werden.

Schrottie
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:35 Uhr
und wie verschlüsel ich die?
also woher weis ich was zB test in md5 bedeuten würde?
Bitte warten ..
Mitglied: Schrottie
20.04.2006 um 17:38 Uhr
das steht da doch:

md5();

Wenn du wissen willst was "test" verschlüsselt heißt:



<?php
echo md5("test"); // Gibt den String "test" verschlüsselt aus.
?>
Bitte warten ..
Mitglied: deluxel
20.04.2006 um 17:59 Uhr
aso versteh schon
thx
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...