Sicherheit eines Internen Bereiches

Einklappen
X
Einklappen
 
  • Seite von 2
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 template Weiter
  • #16
    Vielleicht noch ein anderer Denkansatz...

    Ich speichere die Passwörter in der DB immer md5-Verschlüsselt und prüfe die Passwörter dann auch so ab:

    PHP-Code:

    $md5pass     md5($_POST['password'];
    $sql "select * from usertabelle where u_login = '".$_POST["login"]."' and u_password = '$md5pass'";
    ... 
    Die Vorgehensweise hat zwar den Nachteil, dass ich Passwörter nicht mehr zurückverfolgen kann, wenn einer sein PW vergisst, aber man kann dann ja auch einfach ein neues generieren und ihm das dann zuschicken.

    Gruss,

    Yeza
    mens agitat molem

    Kommentar

    • #17
      Wollte das Passwort eh per md5 in die Db einspeichern, also werd ich wohl den letzten Denkansatz benutzen, dann brauch ich auch kein mysql_real_escape_string mehr benutzen...
      danke für alle vorschläge

      Kommentar

      • #18
        Beim Benutzernamen würde ich aber vorher noch "addslashes" anwenden.
        [COLOR=#9C5245]Internet-Explorer[/COLOR] [COLOR=#334D7B]User und stolz drauf! :P[/COLOR]

        Kommentar

        • #19
          Original geschrieben von eRoZion
          Beim Benutzernamen würde ich aber vorher noch "addslashes" anwenden.
          ich nicht.


          (ich würde mysql_(real_)escape_string nehmen.)
          I don't believe in rebirth. Actually, I never did in my whole lives.

          Kommentar

          • #20
            Original geschrieben von wahsaga
            (ich würde mysql_(real_)escape_string nehmen.)
            ne, ich nehm lieber clean();

            PHP-Code:
                function clean($uncleaned) {
                    if (            get_magic_quotes_gpc()) {
                                    $uncleaned stripslashes($uncleaned);
                    }
                                $cleaned addcslashes($uncleaned"'\\\\");
                    return             $cleaned;
                } 
            btw: Der PHP-Highlighter vom Board hat nen Bug: er macht aus \\ ein \

            Kommentar

            • #21
              Original geschrieben von EEBKiller
              ne, ich nehm lieber clean();
              [ ] weil's schneller ist
              [ ] weil du zeichen maskierst, die maskiert werden müssen, mysql_real_escape_string aber nicht maskiert
              [X] weil du evtl. zeichen nicht maskierst, die (später) maskiert werden müssen, mysql_real_escape_string aber maskiert
              Ich denke, also bin ich. - Einige sind trotzdem...

              Kommentar

              • #22
                [x] Weil es das selbe wie mysql_escape_string macht, magic_quotes_gpc gleich selber beachtet und vor allem kürzer und einprägsamer ist.


                ( Ich hab echt duzende Tests mit ' und \ in allen Variationen, Längen usw. getestet. Man bringt es nicht fertig, den Query zu killen bzw. etwas einzuschleusen. )

                Kommentar

                • #23
                  An und für sich ist der Ansatz ja gut, aber ich würde nicht darauf wetten wollen, dass addslashes/addcslashes immer (= in jeder PHP-Version) das gleiche machen wie mysql_real_escape_string, also solltest du diesen Funktionsaufruf entsprechend ersetzen
                  Ich denke, also bin ich. - Einige sind trotzdem...

                  Kommentar

                  • #24
                    Original geschrieben von EEBKiller
                    [x] Weil es das selbe wie mysql_escape_string macht
                    derzeit vielleicht noch.

                    das verhalten der mysql api bzgl. sonderzeichen kann sich ändern, und mysql_real_escape_string wird dann ganz sicher gleich entsprechend mit angepasst - und du mit deiner albernen "ist doch eh das gleiche"-argumentation stehst dann im regen.

                    für etwas nicht die funktion zu benutzen, die dafür explizit vorgesehen ist, halte ich für amateurhaft und unprofessionell.
                    I don't believe in rebirth. Actually, I never did in my whole lives.

                    Kommentar

                    • #25
                      Mmh...
                      Also wäre bei dieser Art des Logins nicht das Problem, dass man alle Benutzer, die ne wechselnde IP-Adresse haben, immerhin z.B. alle AOL-User, dieses System nicht nutzen könnten?

                      Kommentar

                      • #26
                        Es wird ja die IP beim Login gespeichert.
                        Und während der Zeit in der du Eingewählt bist ändert sich deine IP ja nicht.

                        Und solange behälst du dann auch deine Session, ich denke das ist nur zum
                        Schutz gegen das Übernehmen von Sessions.

                        Kommentar

                        • #27
                          Original geschrieben von p_rehm
                          Und während der Zeit in der du Eingewählt bist ändert sich deine IP ja nicht.
                          [ ] Du hast den Einwand von Wannabe verstanden.
                          I don't believe in rebirth. Actually, I never did in my whole lives.

                          Kommentar

                          Vorherige 1 2 template Weiter
                          Lädt...
                          X