Moin

Ich will ein Single-User-Loginsystem in PHP coden.

Doch ist es sicher, einfach eine php file namens "password.php" zu erstellen, in der das Passwort steht und diese zu includen und den wert der Eingabe zu vergleichen ?

ich meine den PHP Code bekommt man ja nie zu gesicht und password.php einfach so aufrufen kann man ja auch nicht.

Oder kann die variable $Passw zum Bleistift einfach so von ner externen Seite aus ausgelesen werden?

Frage : Ist dieser Weg also sicher ?

Bin dankbar für jeden Tipp

Gruß Assun

Solange du nicht einfach das pw in ne datei schreibst sondern sowas wie:

markieren

Code:

<?php
$pw = 'lala';
?>

machst kann nix passieren.

An die Daten sollte keiner rankommen, wenn sie in einer PHP Datei stehen. Du kannst auch noch folgendes machen:

markieren

Code:

//password.php
<?php
  if (!defined('IN_LOGIN')) {
    die;
  }
  $pass = 'xyz';
?>

markieren

Code:

//login.php
<?php
  define('IN_LOGIN', true);
  include('password.php');
  ...
?>

Sollte aber nicht nötig sein.

Sicherheitslücken können nur durch andere Scripte auf deiner Seite entstehen. Bspw. wenn du eine Dateiauflistung oder so hast, mit der man die Dateien auch ansehen kann. Viele denken dann man könnte nur im aktuellen Verzeichnis surfen, dabei reicht meist ein einfaches ../ aus um ins nächst höhere Verzeichnis zu gelangen.

Ansonsten kann man dir noch empfehlen nur die Hash des Passworts abzuspeichern und dann beim Login das eingegebene Passwort zu hashen und dann die Hashes zu vergleichen.

http://de2.php.net/sha1
http://de2.php.net/md5
http://de2.php.net/crypt

Ich nutze für solche Geschichten ".Htacess".
Das erspart einem das gewurschelt per SID.

Noch ein Tipp:
Die Datei mit dem Passwort würde ich ".ht_xxxx" nennen.
Ganz einfach weil Apache diese im Normalfall nicht anzeigt.

Da würde ich die Datei doch lieber als PHP lassen und außerhalb des Webverzeichnisses auf den Server legen. So kann nur das PHP Script drauf zugreifen, der User über den Browser aber nicht direkt.

Zitat:

Da würde ich die Datei doch lieber als PHP lassen und außerhalb des Webverzeichnisses auf den Server legen. So kann nur das PHP Script drauf zugreifen, der User über den Browser aber nicht direkt.

Sofern die Möglichkeit besteht, klar.

Die sauberste Lösung ist es, wie Mystic schon geschrieben hat, mit dem Hash des Passworts zu arbeiten.

Noch "sauberer" ist die Variante, die die Ermittlung des Hashes schon beim Client macht, da dann das Kennwort *NIE* im Klartext über's Internet geht. Eine Artikel darüber gibt's bei SelfHTML hier.

aber ist es nicht möglich einfach von einem anderen server aus mit einer php file die genauso aussieht :

Zitat:

//login.php
<?php
define('IN_LOGIN', true);
include('password.php');
...
?>

auf meinen Server meine passw variable zuzugreifen ?

Wenn die PHP-Seite über http abgerufen wird (und nur das können andere Server), dann bekommt man ja nicht den Quelltext sondern das Ergebnis zu sehen. Wenn die Passwortdatei also kein "echo $password;" macht, dann passiert garnichts. Rufe deine Passwortdatei doch mal direkt im Browser auf (natürlich nicht von der Festplatte sondern über den Server), dann siehst du was passiert.