Sie befinden sich hier im Forenarchiv von phpforum.de wenn Sie direkt ins Forum möchten, klicken Sie bitte hier. Zur Startseite kommen Sie hier.

Mein erstes Login-Skript - Tipps, Meinungen?

Hallo,

nicht nur mein erstes Posting hier, nein, auch mein Login-Skript ist das erste ;)

Also, vorweg:
ich möchte auf einer Webseite realisieren, dass man sich auf einer Seite einloggen kann. Benutzername und Passwort sind in einer Datenbank gespeichert. Je nach Benutzer werden verschiedene Inhalte angezeigt (es geht um einen Downloadbereich, in dem jeder User andere Downloads zur Verfügung gestellt bekommt). Zudem möchte ich Sessions einsetzen, damit der User sich nicht neu anmelden muss, wenn er zwischenzeitlich auf einer anderen Seite dieses Webauftritts war.

Nun meine Vorgehensweise:

Die Konstante LOGIN_FORM_D ist mein Log-in Formular.

Code:                   In Zwischenablage kopieren (nur IE)
1">

Das Ganze ist übrigens innerhalb einer Switch-Abfrage Nach der Switch-Abfrage kommt der eigentlich Inhalt:

Code:                   In Zwischenablage kopieren (nur IE)
2">

inhalt_login() ist eine Funktion, wiederrum mit einer Switch-Abfrage. Dort wird der Benutzername abgefragt und dann eine entsprechende Datei mit den Downloadlinks "includet".

Meine Fragen:

1) Ist das alles viel zu kompliziert umgesetzt? Falls ja, hat jemand einen Tipp wie es einfacher geht?
2) Wie sieht es mit dem Sicherheitsaspekt aus? Hab ich was übersehen, wo man hier von aussen Schaden hinzufügen könnte (ausser SQL-Injection)?

Freue mich über Tipps und Meinungen :)

Schöne Grüße
Ray
Hier gehts zum Orginal Eintrag "Mein erstes Login-Skript - Tipps, Meinungen?" im Forum

Antworten

1. Das ganze funktioniert nur mit register_globals=on, das ist schon mal Käse.
2. Den Rest habe ich mir nicht mehr angesehen, da Punkt 1 ein KO-Kriterium ist und ich mir so ein durcheinander nicht ansehe. Rücke den Quellcode ordentlich ein, das ist genauso wichtig wie ein funktionierender Quellcode.

*** Nobody ***


2.

Gut, dann starte ich mal einen zweiten Versuch:

Code:                   In Zwischenablage kopieren (nur IE)
3">




3.

Hallo,

ist der Quellcode immer noch so schlecht? Dachte, dass der jetzt ok ist.

Falls also noch jemand einen Tipp hat, würde ich mich sehr freuen :)

Danke und Gruß
Ray


4.

ich würd noch folgendes abfragen:
- max/min länge von loginname und pw
- verwendbare zeichen eingrenzen (mit \ oder " kannst du probleme bekommen)
- passwort nicht mit != vergleichen da hier groß und kleinschreibung nicht berücksichtigt wird
- ob was in der db gefunden wird mit mysql_num_rows abfragen
- ich halte recht wenig von md5 prüfsummen, sondern speichere das passwort direkt in der db
- automatisches ausloggen, wenn der user eine zeit nichts macht
- wahlweise angemeldet bleiben, egal wie lang man nichts macht


so genau hab ich auch nicht drüber gesehen, aber du kannst damit schon weiter machen ;)


5.

Setze doch mal an den Anfang
Code:                   In Zwischenablage kopieren (nur IE)
4">

Ich denke, da wirds leichtes gemeckere geben :)

Weil z.B.
Code:                   In Zwischenablage kopieren (nur IE)
5">

Bitte nutze die PHP und nicht die Code Formatierung, dann ist es besser zu lesen

Auch wichtig:
http://de2.php.net/manual/de/function.mysql-escape-string.php
http://de2.php.net/manual/de/function.get-magic-quotes-gpc.php
Suche mal hier im Forum nach magic_quotes


6.

Zitat:
firefox80 postete
- ich halte recht wenig von md5 prüfsummen, sondern speichere das passwort direkt in der db

Das widerrum halte ICH für ganzen großen Käse.
Ich finde es absolut unverantwortlich Passwörter im Klartext zu speichern.

Es birgt nur Gefahren - und viele User benutze für alle möglichen Zugänge gleiche Login-Namen und Passwörter.
Schon allein um die Passwörter von neugierigen Admins zu schützen würde ich das nie im Klartext speichern!

Sag mir einen guten Grund der gegen eine Speicherung des md5 Hashes spricht (oder eines Hashes allgemein)


Hier gehts zum Orginal Eintrag "Mein erstes Login-Skript - Tipps, Meinungen?" im Forum
 
phpforum.de | Impressum