PHP-login sicher?
Hallo
Programmiere/Schreibe gerade an meiner neuen Homepage, bei der auch ein Login für vertrauliche Daten dabei ist. Übergeben werden von einer HTML-Seite 2 Variablen: nn, vn Mein Php-Code lautet (vereinfacht dargestellt):
Delphi-Quellcode:
Würde gern von euch Wissen, ob dieser Login sicher ist bzw. ob es möglich ist die übergebenen Variablen zu manipulieren.
if ((nn == admin) AND (vn == xyz))
{ Zeige vertrauliche Daten</p> } else { Falscher Login</p> } Bei Verbesserungen wär ich für Quellcode dankbar Gruß Moyyer |
Re: PHP-login sicher?
Wie liest du denn die Variablen ein?
|
Re: PHP-login sicher?
Wie übergibst du die Variablen (POST/GET)? Verwendest du SSL?
|
Re: PHP-login sicher?
Also Variablen werden über ein Formular (2x Eingabefeld + 1x Button) abgeschickt.
Hab aber bei meinem Code die $-Zeichen vergessen. Hier die Korrektur:
Delphi-Quellcode:
Variablen werden über POST übermittelt. Kein SSL.
if (($nn == admin) AND ($vn == xyz))
{ Zeige vertrauliche Daten</p> } else { Falscher Login</p> } |
Re: PHP-login sicher?
Eine Post-Übergabe ist ei klein wenig schwerer zu manipulieren aber nicht wirklich. Ohne SSL ist aber nur bedingt sichere Seiten zu entwickeln.
|
Re: PHP-login sicher?
Wenn du irgendwo das Admin-Passwort als MD5-Hash hinterlegst (bsp. in der Datenbank) und beim Einloggen den Hash des eingegebenen Passwortes mit dem in der Datenbank prüfst, kann eigentlich nicht viel passieren. Natürlich kommt es darauf an, wie du die Eingaben auswertest und wie dein Server konfiguriert ist. Einfach und sicher, aber nicht sonderlich schön beim Login ist ein Passwortschutz mittels htaccess zum Verzeichnis-Schutz. Dann popt dieses Eingabeformular auf, mit dem man sich authentifizieren muss.
|
Re: PHP-login sicher?
Werd mir die genannten Vorschläge mal zu Gemüte führen. Thx @ all
|
Re: PHP-login sicher?
mhh, was spricht gegen einen klassischen htaccess login ?
sieht professionell aus, ist sicher. leicht zu administrieren. Fragen? PN an mich oder frage hier im Forum. Grüße, Coder |
Re: PHP-login sicher?
Das wurde doch bereits genannt und ist so primitiv, dass man es über Google sofort finden würde: htaccess Passwort.
|
Alle Zeitangaben in WEZ +1. Es ist jetzt 16:54 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz