Ist dieser Login sicher?

**onemorenerd** · 27.10.2007, 17:53

Kleine Korrekturen der login.php:
- der else-Zweig ist überflüssig
- du prüfst nicht, ob die _POST-Werte überhaupt vorhanden sind
- du gibst keine Fehlermeldung aus
- das md5() kannst du MySQL machen lassen

Schau mal ins Manual, wie man eine Session korrekt zerstört.

Der Rest scheint in Ordnung zu sein.

**Gazorbeam** · 27.10.2007, 17:59

Hi,

vielen Dank fürs Drüberschauen.

Fehlermeldungen gebe ich deswegen nicht aus, weils nur für mich zum testen ist. Später, wenn ich das Projekt dann angehe hatte ich allerdings vor, eine vernünftige Fehlerbehandlung vorzusehen

Den Rest werde ich dann jetzt mal umbasteln.

Gruß,
Daniel

**3DMax** · 27.10.2007, 18:08

ich habe auch zwei kleinigkeiten.

include("login/auth.inc.php"); da würde ich require benutzen, falls der include nicht richtig läuft.

!$_SESSION['login'] kannst du zusätzlich auf den typ prüfen $_SESSION['login']!==true

sind aber nur marginale verbesserungen

**combie** · 28.10.2007, 14:59

- das md5() kannst du MySQL machen lassen

Ja, aber nicht schön, weil dann die Passwörter im Klartext zum SQL Server flutschen. Sind ja nicht immer auf der selben Maschine.
Das mysql_real_escape.... ist an der Stelle allerdings überflüssig.

Mit fehlt da die magic_quotes Abhandlung. Das würde das Script erheblich portabler machen.

Das Session_destroy() ist gut und schön.. Aber man sollte sich das Beispiel in der Doku dazu anschauen, das geht noch etwas weiter.

Mit häufigem Einsatz von session_regenerate_id() und Aufzeichen der abgelaufenen SIDs lassen sich versehendliche oder gar böswillige Sessionübernahmen erkennen.

Auf die LocationHeader könnte man auch verzichten..

**Gazorbeam** · 28.10.2007, 15:57

Hallo,

warum ist das "mysql_real_escape_string" überflüssig? Ich hatte gelesen, dass man alle Eingaben, die von aussen kommen, erst prüfen bzw. so umwandeln soll, dass keiner damit Mist bauen kann, und "mysql_real_escape_string" wurde bei Variablen, die in SQL-Queries gehen empfohlen...?

Die "magic_quotes"-Behandlung werde ich noch einbauen, da habe ich gestern abend auch noch was zu gelesen.

Die Session beende ich nun so:

PHP-Code:


$_SESSION = array();

     

     if (isset($_COOKIE[session_name()]))

     {

         setcookie(session_name(), '', time()-42000, '/');

     }

     

     session_destroy();

session_regenerate_id() werde ich mir mal anschauen, genauso wie die Aufzeichnung der Session-IDs.

Warum kann ich auf den Location-Header verzichten? Ich hatte gedacht, es wäre eine gute Methode, um schnelle Weiterleitungen auf die entsprechenden Seiten zu machen?

**combie** · 28.10.2007, 16:15

Location Header starten einen neuen Requestzyklus. Je nach Internetanbindung und Serverkonfiguration kostet das man schnell mal eben 0.3 Sec(pi mal Daumen). Das ist pure Resourcenverplemperung! Wenn dein PHP im CGI Modus läuft, ist die Angelegenheit sehr aufwändig.
Du könntest mit include schon hinkommen.

Ich hatte gelesen, dass man alle Eingaben, die von aussen kommen, erst prüfen bzw. so umwandeln soll, dass keiner damit Mist bauen kann, und "mysql_real_escape_string" wurde bei Variablen, die in SQL-Queries gehen empfohlen...?

Im Grunde stimmt das!!!
Aber du schaufelst das Passwort doch erstmal durch md5() und dessen Ergebniss KANN NIE gefährlich sein!!!
Und das Passwort VOR md5() zu escapen macht auch keinen Sinn. Md5() ist auch nicht zu gefährden. Also an diesem konkreten Punkt überflüssig und damit falsch.

**Gazorbeam** · 28.10.2007, 16:19

Ok, dann ist es aber nur zur Hälfte falsch, denn den Usernamen muss ich ja noch escapen, der geht ja nicht in MD5.
Ich dachte das wäre jetzt generell falsch gewesen, aber die Erklärung mit MD5 ist schon logisch.

Wie sieht es denn dann mit der magic_quotes-Behandlung aus, muss ich auf das Passwort dann trotzdem "stripslashes" anwenden, bevor ich es im SQL-Query verwende? Oder kann das genauso wie "mysql_real_escape_string()" entfallen?

**combie** · 28.10.2007, 18:07

Oder kann das genauso wie "mysql_real_escape_string()" entfallen?

Natürlich nicht!
Dann würde ja evtl. ein Teil deiner Passwörter, bei einer Serverkonfigurationsänderung ungültig werden.

**Gazorbeam** · 28.10.2007, 19:32

Gut, vielen Dank

**Gazorbeam** · 29.10.2007, 22:52

Hallo,

ich habe da noch eine Frage, wie oft bzw. wann sollte ich idealerweise "session_regenerat_id()" verwenden?

Ich hab mein Skript jetzt so erweitert, dass alte Session-IDs in einer Tabelle gspeichert werden und verglichen wird, ob die ID bereits existierte, wenn das der Fall ist wird die aktuelle Session automatisch beendet und der User ausgeloggt.

Gruß,
Daniel

**combie** · 29.10.2007, 23:02

Die ganz paranoiden machen es bei jedem Request. Beim Ein und Ausloggen sollte man es schon tun.
Aber nur bei aktivierten Cookies sinnvoll.

Wenn die SID per URL übergeben wird, macht man sich damit den F5 Button kaputt. Auch das Nachladen von PHP generierten Bildern usw. wird Probleme bereiten wenn dabei Sessiondaten genutzt werden sollen.

**jahlives** · 30.10.2007, 11:10

Tipp: Wenn du schon boolean Werte in der Session speicherst, dann prüfe auch typensicher darauf

PHP-Code:


if($var === true)

//oder

if($var !== true)

Wenn du das nicht machst könntest du v.a. im Umfeld von register_globals ON in Probleme laufen.

Gruss

tobi

Ist dieser Login sicher?