Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13

Thema: Welches Verfahren als Loginscript?

  1. #1
    Interessierte/r Avatar von XantypiaxD
    Registriert seit
    17.01.2010
    Beiträge
    123
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard Welches Verfahren als Loginscript?

    Abend zusammen.

    Ich bin derzeit dran eine Website zu errichten.

    Bin jetzt an meinem ersten wirklichen Problem angelangt.

    Das Loginscript.

    Die Frage ist, welche Variante ich dazu benutzen soll? Bzw. kann ich überhaupt aus verschiedenen auswählen? Wenn Ja, welche ist die Beste (Sicherste)?

    Gibt es evtl. schon diverse Vorlagen die mir helfen könnten?

    Habe bis jetzt immer mit Sessions gearbeitet. In Sachen Sicherheit weiss ich aber noch nicht zu 100% bescheid. Macht es Sinn die Session in einer Tabelle abzuspeichern?

    Für die Antworten danke ich

    MfG XantypiaxD
    Achtung: Dies ist ein alter Thread im HTML und Webmaster Forum
    Diese Diskussion ist älter als 90 Tage. Die darin enthaltenen Informationen sind möglicherweise nicht mehr aktuell. Erstelle bitte zu deiner Frage ein neues Thema im Forum !!!!!

  2. #2
    König(in)
    Registriert seit
    07.02.2009
    Ort
    Leipzig
    Beiträge
    1.391
    Danke
    2
    Bekam 21 mal "Danke" in 20 Postings

    Standard AW: Welches Verfahren als Loginscript?

    Meinst Du mit Verfahren die Art der technischen Realisierung oder den Ablauf einer Registrierung und Logins aus Nutzersicht?

  3. #3
    Interessierte/r
    Themenstarter
    Avatar von XantypiaxD
    Registriert seit
    17.01.2010
    Beiträge
    123
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Welches Verfahren als Loginscript?

    Schon die technische Realisierung.. Also ob mit Sessions gearbeitet werden soll.. z.B.

  4. #4
    König(in) Avatar von Grevas
    Registriert seit
    20.04.2009
    Ort
    In meiner Wohnung.
    Alter
    30
    Beiträge
    1.039
    Danke
    0
    Bekam 5 mal "Danke" in 5 Postings

    Standard AW: Welches Verfahren als Loginscript?

    zu deinem Beispiel (jenachdem, können cookies zusätzlich nett sein):



    und nicht alzulanges googlen:
    http://www.administrator.de/index.php?content=40282

    Also, äh, ja. Optimalerweise sollten die usernamen & pw-hashes in einer Datenbank sein (fals die user sich selbst registrieren sollen können - sonst tuts auch eine PHP liste)

    /p.s. aus diesem Beispiel solltest du allerdings $_SERVER['PHP_SELF'] nicht übernehmen.
    Geändert von Grevas (16.02.2011 um 21:55 Uhr)

  5. #5
    Interessierte/r
    Themenstarter
    Avatar von XantypiaxD
    Registriert seit
    17.01.2010
    Beiträge
    123
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Welches Verfahren als Loginscript?

    Danke danke
    Hat mich bei meiner Entscheidung unterstützt


    Edit: Ist es sinnvoll die Session in eine Tabelle einzuschreiben und sie auf gültigkeit abzufragen?
    Oder sollte ich lieber "normal" Sessions abspeichern, wie im Beispiel.

    Edit2: Warum darf ich nicht $_SERVER['PHP_SELF'] .. gibt es dafür eine bessere Lösung?
    Geändert von XantypiaxD (17.02.2011 um 22:57 Uhr)

  6. #6
    der/die Göttliche Avatar von jojo87
    Registriert seit
    23.03.2007
    Ort
    Leipzig
    Alter
    30
    Beiträge
    3.131
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Welches Verfahren als Loginscript?

    Trage die urls direkt ein. Die $_SERVER Globale kann vom user manipuliert sein.

  7. #7
    Pion
    Gast

    Beitrag AW: Welches Verfahren als Loginscript?

    Du kannst immer mehr Sicherheit integrieren aber irgentwann sind die Änderungen minimal, oder schaden stärk der Userusability folgendes sollte man aber in dem Zusammenhang schon einmal durchsprechen:

    1. Session-IDs werden nach manchen aktionen oder Zeit neu generiert
    2. Passwörter werden gehash und gesaltet in die DB gespeichert
    3. Optional: IP/Agenten erkennungen und jenachdem Multilogins verschiedener IPS vermeiden (für einen gültigen Login)
    4. Optional: Cookies für langen Login, auch wenn der Brwser mal geschlossen wird (RememberMe)
    5. Optional: SessionDBHandler
    6. Optional: Session in UserTabelle (für einen gültigen Login)
    7. Optional: Anmeldung, botSperren, Emailaktivierungen
    8. Optional: Passwort vergessen über Email oder ähnlichen

    Fazit: Man sollte immer schauen für was der Login ist, Communitys sind anders abzusichern als Spiele und die anderes als Seiten die mit Finanzen arbeiten

    Das oben genannte Beispiel funktioniert, aber kaum zu empfehlen.
    Wenn man nicht die kenntnisse hat soll man sich nicht an ein Login waagen, dass geht meistens schief

    mfg

  8. #8
    König(in) Avatar von Grevas
    Registriert seit
    20.04.2009
    Ort
    In meiner Wohnung.
    Alter
    30
    Beiträge
    1.039
    Danke
    0
    Bekam 5 mal "Danke" in 5 Postings

    Standard AW: Welches Verfahren als Loginscript?

    Zitat Zitat von Pion Beitrag anzeigen
    [...]
    Fazit: Man sollte immer schauen für was der Login ist, Communitys sind anders abzusichern als Spiele und die anderes als Seiten die mit Finanzen arbeiten

    Das oben genannte Beispiel funktioniert, aber kaum zu empfehlen.
    Wenn man nicht die kenntnisse hat soll man sich nicht an ein Login waagen, dass geht meistens schief
    [...]
    Wenn wir schon dabei sind:

    9. Overengineering

    Fazit:
    Das Script deckt eine Loginprozedur super ab. Bis auf die 2 Mankos die ich bereits erwähnte.

    RememberMe, User- /AcitivityTracking, Anmeldung gehen hier ganz schön am Thema vorbei. Wie du RememberMe und IP-Bindung des Logins so nah beieinander erwähnen kannst, bleibt mir ein Rätsel - aber egal, Hauptsache du hast irgendwas gesagt .


    /P.S. um auf die Frage von XantypiaxD einzugehen:
    brauchst die Session nicht in einer Tabelle zu speichern. Ich persönlich prüfe bei jedem Aufruf nochmal die eingegeben Logindaten ab (in der Session speicher ich nur den passwort-hash, nicht den input) - falls warum auch immer ein User gesperrt werden soll, wird er es damit auch sofort. Wenn du sowas aber nicht brauchst, reicht im prinzip auch ein $_SESSION['loged_in'] = true;
    Geändert von Grevas (18.02.2011 um 15:19 Uhr)

  9. #9
    Interessierte/r
    Themenstarter
    Avatar von XantypiaxD
    Registriert seit
    17.01.2010
    Beiträge
    123
    Danke
    0
    Bekam 0 mal "Danke" in 0 Postings

    Standard AW: Welches Verfahren als Loginscript?

    Danke für eure Antworten Hat mir sehr geholfen.

    Habe jetzt dennoch ein kleines Problem. Habe jetzt sobald ich angemeldet bin und die
    Daten stimmen, eine Weiterleitung in den "geschützten" Bereich geplant.

    Ich wollte dies eigentlich mit header() umsetzen. Aber ich bekommen den allseits bekannten
    "Header already sent"-Fehler... Habe jetzt schon sämtliche Sachen ausprobiert (ob_start(), ...)
    aber ich weiss einfach nicht was ich falsch mache, bzw wie ich es anders lösen könnte..

    Hier meine Codes:

    index.php
    PHP-Code:
    <?php
    session_start
    ();
    ?>
    <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
       "http://www.w3.org/TR/html4/loose.dtd">
    <html>    
    <head>
        <title>TestPage</title>
        <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
        <link rel="stylesheet" type="text/css" href="style.css">
        <script type="text/javascript" src="js/jquery-1.4.3.min.js"></script>
        <script type="text/javascript" src="js/jq_func.js"></script>
        <script type="text/javascript" src="js/js_func.js"></script>
    </head>

    <body>
    <div id="wrap">
    <div id="content">
    <div id="d1"></div>
    <div id="d2">
        <div id="d2_left">
        <div id="login_area"><?php include('lib/login.php'); ?></div>
        </div>
        <div id="d2_right"></div>
    </div>
    <div style="clear:left;"></div>
    <div id="d3">
        <?php
        $page 
    $_GET['p'];
        if(
    $page != "")
        {
        include(
    'lib/'.$page.'.php');
        }
        else
        {
        include(
    'lib/home.php');
        }
        
    ?>
    </div>
    <div id="d4"></div>
    </div>
    </div>

    </body>
    </html>

    login.php
    PHP-Code:
    <?php

    if(isset($_POST['log_submit']))
    {
    $log_username $_POST['username'];
    $log_passwort md5($_POST['passwort']);

    include_once(
    'include/config/connect.php');

    $res mysql_query("SELECT `mail`, `passwort` FROM `user` LIMIT 1;");
    $row mysql_fetch_array($res);

    $real_username $row["mail"];
    $real_passwort $row["passwort"];


    if(isset(
    $log_username$log_passwort)) {
        if((
    $log_username == $real_username) && ($log_passwort == $real_passwort)) {
            
    header("Location: index.php");
        }
        else {
            echo 
    'Nicht geklappt!';
        }
    }

    }
    else {
    ?>
    <table style="font-size:13px;">
        <tr>
            <td>E-Mail:</td>
            <td>Passwort:</td>
            <td></td>
        </tr>
        <tr><form name="log_form" method="post" action="">
            <td><input type="text" id="log_user" name="username"></td>
            <td><input type="password" id="log_pw" name="passwort"></td>
            <td><input type="submit" id="log_button" name="log_submit" value="Anmelden" onClick="return log_control()"></td>
        </tr>
        <tr>
            <td style="color:#515151; font-size:12px;"><input type="checkbox" name="log_check" checked> Angemeldet bleiben</td>
            <td style="color:#515151; font-size:12px;">Passwort vergessen?</td>
            <td></td>
        </tr></form>
    </table>
    <?php
    }
    ?>
    Geändert von XantypiaxD (18.02.2011 um 20:09 Uhr)

  10. #10
    König(in) Avatar von Grevas
    Registriert seit
    20.04.2009
    Ort
    In meiner Wohnung.
    Alter
    30
    Beiträge
    1.039
    Danke
    0
    Bekam 5 mal "Danke" in 5 Postings

    Standard AW: Welches Verfahren als Loginscript?

    Ganz ehrlich, irgendwo reichts.
    Sagst schon selbst, dass das Problem 'berühmt' ist - bemüh die Suche und versuch es zu verstehen... Wurde sogar hier im Forum schon zigmale erklärt.

Ähnliche Themen

  1. Loginscript fehler
    Von Unregistriert im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 5
    Letzter Beitrag: 29.10.2009, 22:30
  2. Probleme mit einem loginscript
    Von Justin35 im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 1
    Letzter Beitrag: 20.07.2008, 14:12
  3. Problem mit Loginscript
    Von Neuling im Forum HTML & CSS Forum
    Antworten: 1
    Letzter Beitrag: 14.06.2008, 23:49
  4. Fehler bei meinem Loginscript
    Von im Forum PHP Forum - Apache - CGI - Perl - JavaScript und Co.
    Antworten: 8
    Letzter Beitrag: 28.02.2006, 19:03
  5. Bluescreen-Verfahren
    Von Kuhgel im Forum Computer - Internet Forum
    Antworten: 5
    Letzter Beitrag: 20.08.2005, 17:58

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •