hilfe für loginsystem

[danyomc]

Hallo, ich bin noch relativ neu in php und möchte in den Ferien eine Page auf der sich User einlogen können erstellen, dies möchte ich aber nich willkürlich tuen.
Da mittlerweile ja schon etliche Portale erstellt wurden wird es mittlerweile bestimmt gewisse Regeln geben an die man sich hält, damit das Resultat am Ende sicherer ist.
Ich möchte auch kein fertiges Script nehmen, sondern damit auch eigene Erfahrungen sammeln.
Deswegen die Frage an welche Regeln sollte man sich halten damit das einlogen sicher ist und das somit erstellte Portal aufbau fähig ist?

MfG Danyo

 

[Dennis Wronka]

Hi, willkommen im Forum.

Grundsaetzlich kann ich Dir erstmal dieses Tutorial empfehlen.
Weiterhin solltest Du darauf achten, dass Du fuer register_globals=off programmierst und darauf achtest, dass kein Cross-Site-Scripting moeglich ist.
Auch auf SQL-Injections musst Du aufpassen.
Allgemein ist alles was ein User uebergeben kann mit Vorsicht zu behandeln.
Sessions sind sicherer wenn sie ueber Session-Cookies laufen und die SessionID nicht ueber den URL uebergeben wird. Natuerlich ist auch dies keine absolute Sicherheit, aber immerhin etwas. Zusaetzlich koennte man in einer Datenbank festhalten welche IP zu welcher SessionID gehoert.

 

[danyomc]

Danke für die schnelle Antwort!
Dann werd ich mcih mal ransetzen...
MfG
Danyo

 

[Gumbo]

Grundsätzlich musst du beim Schreiben eines solchen Skriptes denken: alle Benutzer des Skriptes haben einen IQ unter 50 Punkten und wollen dir Böses. Also: Traue niemandem, vor allem nicht Benutzereingaben, egal welcher Art.
PHP bietet dafür leider viele Schlupflöcher, wenn man sie nicht manuell stopft. Einige davon hat Dennis bereits angesprochen. Weitere findest du sicher mithilfe der Suchfunktion (s. Beispiel-Suchergebnis).

 

[Dennis Wronka]

Grundsätzlich musst du beim Schreiben eines solchen Skriptes denken: alle Benutzer des Skriptes haben einen IQ unter 50 Punkten und wollen dir Böses.

Also vor jemandem mit IQ<50 der mir Boeses will hab ich ehrlich gesagt keine Angst.
Was kann der schon machen? Meine Website anschnauzen und verpruegeln?
Vielleicht solltest Du das lieber in 2 Kategorien fassen:
Die meisten User haben einen IQ<50, und die anderen wollen einem was Boeses.

Nur mal so als morgendlicher Einwurf in die Runde.

 

[Gumbo]

Gut, eine Disjunktion beider Satzteile wäre sicherlich besser. Das macht die Uhrzeit.

 

[Dennis Wronka]

Gut, eine Disjunktion beider Satzteile wäre sicherlich besser. Das macht die Uhrzeit.

Ueber die Uhrzeit beschweren aber dann mit Fremdworten um sich werfen. Jaja, das haben wir gern.

 

[Gumbo]

Durch irgendetwas muss ich doch meinen orthographischen Missgriff ausgleichen.

Entschuldige bitte diese Ausschweifung, Danyomc.

 

[danyomc]

Ortographisch war da doch kein Fehler!?
wobei ich auch nicht der Rechtschreibguru bin.

Ach ja frohes neues!

 

[schuetz10]

Ich habe eine Frage allgemein zu Loggin Systemen:

Angenommen, es gibt nur einen User (nämlich mich), der sich bei der Seite einloggen könnte, wäre es dann sicher, und möglich, einfach in den Quellcode zu schreiben:

if ($password = 'Passwort')
{
dann mach das;
}
else
{
mach dass;
}

mfg
schuetz10