Login Sicherheit

**Kropff** · 16.11.2008, 18:36

wie werden denn $username und $password definiert?

peter

**SCHiLLER** · 16.11.2008, 18:52

meinst du das?:

PHP-Code:


$username = "admin";

$password = "098f6bcd4621d373cade4e832627b4f6";

**onemorenerd** · 16.11.2008, 19:37

Username admin und Passwort test sind per se unsicher.
Im Location-Header sollte man eine absolute URL angeben.
Was machst du da eigentlich mit $log?

**SCHiLLER** · 17.11.2008, 15:31

Original geschrieben von onemorenerd
Username admin und Passwort test sind per se unsicher.

$log nich beachten.. kommt raus

**jmc** · 17.11.2008, 18:44

Naja, wenn du ein genügend langes Passwort nimmst mit genügend verschiedenen Zeichen schadet es nicht gross, wenn du admin als Benuzernamen nimmst, aber wenn du dann auch noch ein Passwort wie hier mit nur 4 Buchstaben verwendest, dann wird es einfach zu cracken sein.

**SCHiLLER** · 18.11.2008, 17:30

Original geschrieben von jmc
Naja, wenn du ein genügend langes Passwort nimmst mit genügend verschiedenen Zeichen schadet es nicht gross, wenn du admin als Benuzernamen nimmst, aber wenn du dann auch noch ein Passwort wie hier mit nur 4 Buchstaben verwendest, dann wird es einfach zu cracken sein.

Ja natürlich nehm ich ein langes Passwort und einen individuellen Benutzernamen

Und das Script an sich is in Ordnung?

**jmc** · 18.11.2008, 19:49

Jop, sonst ist schon ziemlich sicher.

**SCHiLLER** · 18.11.2008, 19:51

Original geschrieben von jmc
Jop, sonst ist schon ziemlich sicher.

das ist gut, danke

**gourmet** · 18.11.2008, 20:30

Re: Login Sicherheit

Original geschrieben von SCHiLLER

PHP-Code:


<?PHP



if(!isset($_SESSION['admin']))

    {

    header("location: index.php");

    exit;

    }



?>

----------------------------------------------------------------------

<?PHP



session_start();



$user = $_POST["username"];

$pw = $_POST["password"];



include("_admin.php");



if ($user == $username && md5($pw) == $password)

    {

    $_SESSION['admin'] = "$user";

    header("location: admincenter.php");

    }

else

    {

    header("location: index.php");

    }



?>

Hallo Schiller,

exit; kannst du weglassen, wird eh nicht ausgeführt

PHP-Code:


$user = $_POST["username"];

$pw = $_POST["password"];

// ^^ ist ebenfalls überflüssig

//kannst das auch so lösen

//eventuell vorher auch überprüfen ob überhaupt der login button angeklickt wurde

if($_POST['username'] == $username && md5($_POST['passwort']) == $passwort) {

//mach dies, tue jenes

}



$_SESSION['admin'] = "$user";

//"$user"

// ^^die Anführungsstriche gehören da nicht hin

vg
gourmet

**PHP-Desaster** · 18.11.2008, 20:52

Re: Re: Login Sicherheit

exit; kannst du weglassen, wird eh nicht ausgeführt

Ist das so? Ich wäre mir da nicht so sicher!

**onemorenerd** · 18.11.2008, 22:50

Ich finde exit nach einen header('Location...') sehr gesund. So kann man sicher sein, dass das Script an der Stelle abbricht. Alles andere wäre Unsinn.

**gourmet** · 19.11.2008, 16:40

ja habt recht, ich habe mich nochmal dazu belesen, ein exit; ist nicht verkehrt, ist mir noch nie so aufgefallen das da noch etwas passiert nach dem header()

vg
gourmet

**nichtsooft** · 22.11.2008, 05:19

Original geschrieben von gourmet
ja habt recht, ich habe mich nochmal dazu belesen, ein exit; ist nicht verkehrt, ist mir noch nie so aufgefallen das da noch etwas passiert nach dem header()

vg
gourmet

Macht ja nichts gourmet! Wir haben hier alle schon mal was neues gelesen!

**phpguru42** · 24.11.2008, 14:53

Vielleicht solltest Du solche wichtigen Dateien doch lieber mit require() einbinden.
Wenn der Include fehlschlägt, ist Dein ganzer Schutz ausgehoben!

Login Sicherheit