|
 |
  |
| Autor |
Nachricht |
denny
User [User]
Anmeldung: 27.11.07
Beiträge: 13
|
 Verfasst am: 27.11.2007, 19:36 Titel: Login mit Php, Javascript |
 |
|
[color=red]Hey Leuts![/color]
Ich bin neu hier, auch relativ jung (daher könnte es durch aus sein das ich undeutlich schreib^^bitte sagt es mir dann)und versuche programmier Sprachen wie Php oder Javascript zu lernen. So:
Inzwischen habe ich schon viel erforscht und habe versucht ein Php login zu erstellen:
login.php:
| Code: | <?php
$username = $_POST ["username"];
$password = $_POST ["password];
// "$_POST ["username/password"]" Dieser Code hat solch Bedeutung: woher der Name und das Passwort kommt.
Aber für eine Abkürzung schreibt man extra davor: $BEGRIFF = ...
if ($username==beispiel AND $password==beispiel)
{
echo "Passwort ist richtig!";
}
//if- bedeutet sozusagen eine option. Dahinter kann man schreiben: (SCRIPT).
Nun unser script handelt von den Daten eines Benutzers. $username ist beispiel $password ist auch beispiel
Wenn die Eingabe der Daten im Html Script(siehe zweiten Code)stimmt, dann erscheint PASSWORT IST RICHTIG
else
{
echo "Falsches Passwort!!!! <a href=/"login.html/">Zurück und überprüfen</a>;
}
//else übersetzt: Oder. Der Rest is klar;)
?>
|
Der html Code (login.html):
| Code: | | <html><head></head><body><form action=login.php method=post><br>Ihr Name:<br><input type=text name=username>br>Ihr Passwort:<br><input type=password name=password><br><input type=submit name=Login></form></body></html> |
FEHLER BITTE KORREGIEREN! (Wenn ich welche hab)
Gruß,
denny[/b][/code]
Zuletzt bearbeitet von denny am 27.11.2007, 20:50, insgesamt einmal bearbeitet
|
|
| Nach oben |
|
 |
thepiep
Beliebter [User]
Anmeldung: 24.08.06
Beiträge: 329
Wohnort: NRW
|
| Verfasst am: 27.11.2007, 20:50 Titel: |
|
|
ich frag mich n bisschen, was dieses posting soll.
Installier xampp (apachefriends.org) und probier einfach aus, ob der code richtig ist
und nebenbei, mit login hat das noch nichts zu tun, denn du überprüfst nur die werte aus ein paar eingabefeldern.
für ein login script brauchst du aber auf jeden fall cookies oder sessions -> google
|
|
| Nach oben |
|
|
denny
User [User]
Anmeldung: 27.11.07
Beiträge: 13
|
| Verfasst am: 27.11.2007, 20:53 Titel: |
|
|
mit session?
kein Problem!
Hier:
(login.php)
| Code: | <?php
session_start();
$username = $_POST["username"];
$passwort = $_POST["password"];
$passwort = md5($passwort);
$log=0;
$userdatei = fopen ("user.txt","r");
while (!feof($userdatei))
{
$zeile = fgets($userdatei,500);
$userdata = explode("|", $zeile);
if ($userdata[0]==$username and $passwort==trim($userdata[1]))
{
$_SESSION['username'] = $username;
echo "Login war erfolgreich. <a href=\"geheim.php\">Geschützer Bereich</a>";
$log = 1;
}
}
fclose($userdatei);
if ($log==0)
{
echo "Zugriff verweigert <a href=\"login.html\">Zurück</a>";
}
?> |
eintragen.php:
| Code: | <?php
$username = $_POST["username"];
$password = $_POST["passwort"];
$password2 = $_POST["passwort2"];
if ($password == $password2)
{
$user_vorhanden = array();
$passwort = md5($password);
$userdatei = fopen ("user.txt","r");
while (!feof($userdatei))
{
$zeile = fgets($userdatei,500);
$userdata = explode("|", $zeile);
array_push ($user_vorhanden,$userdata[0]);
}
fclose($userdatei);
if (in_array($username,$user_vorhanden))
{
echo "Username schon vorhanden <br> <a href=\"eintragen.html\">zurück</a>";
}
else
{
$userdatei = fopen ("user.txt","a");
fwrite($userdatei, $username);
fwrite($userdatei, "|");
fwrite($userdatei, $passwort);
fwrite($userdatei, "\n");
fclose($userdatei);
echo "$username, deine Anmeldung war erfolgreich<br><a href=\"login.html\">zum Login</a>";
}
}
else
{
echo "Die Passwörter sind nicht identisch<br> <a href=\"eintragen.html\">zurück</a> ";
}
?> |
(für md5) user.txt noch erstellen
geheim.php:
| Code: | <?php
session_start();
if(!isset($_SESSION['username']))
{
echo "Bitte erst <a href=\"login.html\">einloggen</a>";
exit;
}
?>
<html>
Herzlich Willkommen im geschützen Bereich
</html> |
meinst du so was?
|
|
| Nach oben |
|
|
thepiep
Beliebter [User]
Anmeldung: 24.08.06
Beiträge: 329
Wohnort: NRW
|
| Verfasst am: 27.11.2007, 20:56 Titel: |
|
|
?warum erstellst du so ein posting, wenn du weißt wie's geht?
und das passwort in einer textdatei zu speichern, ist ja wohl die größte sicherheitslücke, die man öffnen kann...
|
|
| Nach oben |
|
|
denny
User [User]
Anmeldung: 27.11.07
Beiträge: 13
|
| Verfasst am: 27.11.2007, 21:00 Titel: |
|
|
weil ich kein bock hatte so viel zu schreiben^^
aber die Datei bringt nichts für einen andren. Dort steht das Passwort eines benutzers
in md5. Und der Code functioniert sowieso nich wenn er ihn eingibt
|
|
| Nach oben |
|
|
benjam4
Bekannter [Mod]
Anmeldung: 17.05.06
Beiträge: 1276
Wohnort: Ostfildern ...
|
| Verfasst am: 27.11.2007, 22:57 Titel: |
|
|
tja, mit dem md5-hash ließe sich schon was anfangen.
Man kann zwar das PW nicht daraus erzeugen, aber ein Programm das alle möglichen Kombinationen mit md5 verschlüsselt, und dann die Hashes vergleicht, das ist schnell geschrieben, und je nach Passwort dauert es ein bisschen, aber irgendwann hat man das PW.
Und wenn man sowas auf ner Seite benutzt, die einen Anreiz bietet, das Ding zu knacken, dann dauert das gar nicht so lange, bis der Zugang frei ist.
_________________
Rechtschreibfehler sind beabsichtigt, sie dienen der Verschleiherung meiner tatsächlichen Genialität 
____________________________________
Eine Signatur sie alle zu knechten
|
|
| Nach oben |
|
|
800XE
Bekannter [Mod]
Anmeldung: 24.10.04
Beiträge: 1292
Wohnort: Speyer
|
| Verfasst am: 28.11.2007, 05:40 Titel: |
|
|
| benjam4 hat folgendes geschrieben: | tja, mit dem md5-hash ließe sich schon was anfangen.
Man kann zwar das PW nicht daraus erzeugen, aber ein Programm das alle möglichen Kombinationen mit md5 verschlüsselt, und dann die Hashes vergleicht, das ist schnell geschrieben, |
Das Prog ist schnell geschrieben ..... aber wielange braucht das Prog um durchzulaufen?
Da gibt es aber glaube speziele Suchmaschinen
dort gibt man den md5 ein und erhält etwas das diesen ergeben wird
ergeben wird ......
... z.B. ich zähle nur die AsciWerte der Zeichen und am Ende kommt eine Zahl zwischen 0-99 raus
Ich brauche nicht das richtige Passwort, ich brauche nur etwas das auch diesen "KOdierten"Passwort ergibt
| thepiep hat folgendes geschrieben: | | und das passwort in einer textdatei zu speichern, ist ja wohl die größte sicherheitslücke, die man öffnen kann... |
C.//honsting/kunde800/confix/html/index.php
C.//honsting/kunde800/confix/data/passwords.txt
Wo ist hier die Sicherheitslücke?
An die .txt kommt du über den Browser garnicht ran
Und eine mySQL ist am Ende auch nur eine "Textdatei" ... irgendwo in einem Anderen Verzeichniss
_________________
 Seien wir realistisch, versuchen wir das Unmögliche!
CMS800 :::::::::: Andy 800XE Zmuda :::::::::
ich bin nicht unhöflich, ich bin binär
|
|
| Nach oben |
|
|
Swordfish82
Neuer [User]
Anmeldung: 28.11.07
Beiträge: 5
|
| Verfasst am: 28.11.2007, 16:13 Titel: |
|
|
Naja, eine phrase zu generieren die einen bestimmten MD5-Hash ergibt wird sicherlich länger als ein paar Stunden dauern, was wiederum zu der Frage führt, sind die Daten so interessant, dass jemand diese Zeit investieren würde?
Wahrscheinlich wohl nicht.
Jedoch ist liegen die mysql Dienste !häufig! auf Backend Servern, nicht mit dem Webserver-Dienst auf einer Maschine, was die Sache schon sicherer macht als die Text-Datei.
Es gab mal eine SIcherheitslücke bei 1und1 (3 Jahre her), wo man über PHP/Perl die Verzeichnisse von anderen Webspaces anzeigen lassen konnte, man hatte also man amtlichen Lesezugriff darauf! Insofern ist das Problem nicht ganz von der Hand zu weisen.
Allerdings gab und gibt es auch sowas wie SQLInjection 
Gruß
Jan
|
|
| Nach oben |
|
|
800XE
Bekannter [Mod]
Anmeldung: 24.10.04
Beiträge: 1292
Wohnort: Speyer
|
| Verfasst am: 28.11.2007, 17:33 Titel: |
|
|
| Swordfish82 hat folgendes geschrieben: | Es gab mal eine SIcherheitslücke bei 1und1 (3 Jahre her), wo man über PHP/Perl die Verzeichnisse von anderen Webspaces anzeigen lassen konnte, man hatte also man amtlichen Lesezugriff darauf! Insofern ist das Problem nicht ganz von der Hand zu weisen.
Allerdings gab und gibt es auch sowas wie SQLInjection |
1. wie du sagst ... SQLInjection
2. vor Jahren war das Sicherheitsloch mehr oder weniger überall, bei vielen Hostern
2b. ist dann die SQL nicht sicherer als die txt ....
.... wenn ich in den Webspace von Anderen Kunden auf dem Server zugreifen kann .... direkt ohne http .... dann kann ich mir dort auch die SQL-Zugangsdaten raussuchen ..... und dann kann ich die SQL auslesen
| Swordfish82 hat folgendes geschrieben: | | Jedoch ist liegen die mysql Dienste !häufig! auf Backend Servern, nicht mit dem Webserver-Dienst auf einer Maschine, was die Sache schon sicherer macht als die Text-Datei. |
2c. Sicher das SQL auf Anderem Rechner läuft? ..... localhost ..... dachte immer das heist "diese Maschine wo ich gerade bin"
Ich bin bei mehreren Hostern ... überall localhost .... bei welchem ist es nicht so?
_________________
Seien wir realistisch, versuchen wir das Unmögliche!
CMS800 :::::::::: Andy 800XE Zmuda :::::::::
ich bin nicht unhöflich, ich bin binär
|
|
| Nach oben |
|
|
denny
User [User]
Anmeldung: 27.11.07
Beiträge: 13
|
| Verfasst am: 28.11.2007, 18:48 Titel: |
|
|
naja, wie gesagt ich habe erst seite einer Woche gelernt und wollte nur ma einen Quelltext für 'n Login zeigen. Asserdem es gibt ne Millarden von Menschen die immer nach einen Login fragen
|
|
| Nach oben |
|
|
Swordfish82
Neuer [User]
Anmeldung: 28.11.07
Beiträge: 5
|
| Verfasst am: 29.11.2007, 11:12 Titel: |
|
|
| Zitat: | | Ich bin bei mehreren Hostern ... überall localhost .... bei welchem ist es nicht so? |
1Blu, Strato, Schlund und bei der Firma für die ich arbeite....
Bei Puretec und Hosteurope laufen die mysqld auf der selben Maschine, da gebe ich Dir recht.
Grüße
Jan
|
|
| Nach oben |
|
|
TNDAriakas
Beliebter [User]
Anmeldung: 31.07.07
Beiträge: 277
Wohnort: Bremen
|
| Verfasst am: 29.11.2007, 23:13 Titel: |
|
|
| denny hat folgendes geschrieben: | | naja, wie gesagt ich habe erst seite einer Woche gelernt und wollte nur ma einen Quelltext für 'n Login zeigen. Asserdem es gibt ne Millarden von Menschen die immer nach einen Login fragen |
Denen würde ich dann aber ncih empfehen deins zu benutzen. Meins prüft über ein paar mehr verschiedene methoden beim login und wärend seiner "online" zeit.
z.B. Cookie mit MD5 Hash zusammengewürfelt aus ip, zeit, browser version usw, DB einträgen, letzte aktivität, session id............
Deine "einfache" md5 validierung taugt nix und ist schneller geknackt als du glaubst (aber das wurde hier ja schon erwähnt  )
_________________
So long...Ari
Error! Reality.sys is corrupt. Smash head on keyboard to restart universe.
Google ist dein Freund
|
|
| Nach oben |
|
|
|
|
  |
|
Alle Zeiten sind GMT + 1 Stunde
|
| Seite 1 von 1 |
|  |
