SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

Fortgeschrittene CSS-Techniken

Fortgeschrittene CSS-Techniken zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > PHP für Fortgeschrittene und Experten

PHP für Fortgeschrittene und Experten Fortgeschrittene und Experten können hier über ihre Probleme und Bedenken talken

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 18.10.2006, 15:52:33
Benutzerbild von 8805-evergreen.
8805-evergreen. 8805-evergreen. ist offline
Anfänger
 
Registriert seit: Feb 2006
Beiträge: 125
$_SESSION basiertes Login - Sicherheitsfragen

Guten Tag allerseits...

Ich bin gerade an einem kleinen Datenbankbasierendem CMS...

Bezüglich dem Kunden- Login hab ich mir das so vorgestellt:

1. Kunde logt sich auf www.meineseite.ch/login.php ein
2. wenn ok, wird eine $_SESSION- Variable erzeugt
3. er wird auf www.kundenseite.ch/m_tool/ weitergeleitet
4. sofort wird überprüft, ob "die" $_SESSION- Variable einen 5- stelligen, numerischen Wert enthält...
5. wenn JA, werden die Seiteninhalte angezeigt
6. wenn NEIN, wird er sofort per header ('Location: ... '); auf das Login Script verweist

Fragen:

1. Ist das sicher genug? Irgendwie kann ich mir nicht vorstellen, das eine einsame $_SESSION- Variable das ist...
2. Hilft es eventuell, einen extrem komischen Session- Variablenamen wie etwa "as7f8ihnvbdlisz689" zu verwenden?
3. Die Scripte der Administration liegen alle auf meinem Server und werden vom Kunden aufgerufen. Gibt es da spezielles zu beachten (ausser, das die CHMODs der Scripts nur auf LESEN gesetzt sind)?
Zu beachten: In einiger Zeit würden eventuell mehrere Kunden mit den selben Scripts gleichzeitig arbeiten.

Wenn möglich werde ich noch SSL verwenden..

Könnt ihr mir eventuell wichtige Tipps zu Sicherheit solcher Mini- CMS geben?

Bin dankbar für jede Antwort..... CHEERS
Mit Zitat antworten
  #2  
Alt 18.10.2006, 16:18:00
Benutzerbild von daFloh
daFloh daFloh ist offline
Anfänger
 
Registriert seit: Oct 2006
Ort: Berlin
Alter: 46
Beiträge: 31
daFloh eine Nachricht über ICQ schicken daFloh eine Nachricht über AIM schicken daFloh eine Nachricht über MSN schicken
AW: $_SESSION basiertes Login - Sicherheitsfragen

Also ich benutze eine erweiterte Form der PEAR-AUTH-Klasse.
http://pear.php.net/package/Auth
Nehme diese Scripte für fast alle Kunden die auch einen Administrativen Bereich bekommen.
Jedoch wird der Administrative Bereich nur durch eine für den Kunden bekannte URL erreichbar sein.

Auf jeder administrativen Seite rufe ich dann AUTH::getAuth() oder einer von mir erweiterten Form anhand der Berechtigungen geprüft werden auf. Bei Fehlschlag wird der Benutzer mittels Header(Location blabla) dann auf eine entsprechende Fehlerseite oder die Hauptseite geleitet je nach Kundenwunsch.

Das mehrere Benutzer mit dem selben Script arbeiten sollte kein Problem darstellen!

Tips zur Sicherheit?!

Alle Werte die über ein Formular kommen mittels strip_tags() von eventuell schädlichen Code befreien.
__________________
There are 10 people those who understand binary and those who dont.

Lustich macht den Sound vorher an: Schniedelwutz
Mit Zitat antworten
  #3  
Alt 18.10.2006, 17:47:44
Benutzerbild von 8805-evergreen.
8805-evergreen. 8805-evergreen. ist offline
Anfänger
 
Registriert seit: Feb 2006
Beiträge: 125
AW: $_SESSION basiertes Login - Sicherheitsfragen

Ciao Floh!

Hab mir diese Klasse mal angeschaut.. Sieht auf jeden Fall vielversprechend aus!

Ohne das ich jetz das ganze Script durchsuche:
Im Prinzip wird es wohl sehr ähnlich sein oder?
Also ich meine bezüglich der Erstellung und Überprüfung der $_SESSION- Variable.. ?

Denn wenn ja, müsste ich nicht das Ganze Script anpassen...
Wobei: Ich müsste ja lediglich auf der Login Seite und in der Administration des Kunden Anpassungen vornehmen.. Oder?

Das mit der Funktion strip_tags() hab ich bereits eingebaut. Auch htmlentities() ist in jedem Modul präsent.

Hättest du mir einen Tipp bezüglich des Ordnernamens der Administration? z.B. auf keinenfall /admin oder so?

Zum Login:
Als Benutzernamen verwende ich eine E-Mailadresse. Dank preg_match() kann ich dann schonmal eine grosse Anzahl von Missbräuchen stoppen. Ich denke, mein Login Script ist sicher genug. Wenn jemand aber einen Blick darauf werfen möchte, kann ich es gerne posten...

Zur Authentifizierung:
Aber zu meinen noch offenen Fragen:

1. Ist das Erstellen und Überprüfen einer einzelnen $_SESSION- Variable sicher genug?
2. Hilft es eventuell, einen extrem komischen Session- Variablenamen wie etwa "as7f8ihnvbdlisz689" zu verwenden?
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
iframe Login mit Prüfung Nisha PHP für Fortgeschrittene und Experten 1 01.04.2006 14:56:12
fehler bei login quellcode schueler PHP Grundlagen 22 02.02.2006 20:01:37
Login MySQL Gamerfun MySQLi/PDO/(MySQL) 2 28.12.2005 18:03:13
Login code Blackhell PHP für Fortgeschrittene und Experten 1 13.12.2005 19:43:51
Login frage... |Coding PHP für Fortgeschrittene und Experten 8 27.05.2002 21:30:29


Alle Zeitangaben in WEZ +2. Es ist jetzt 17:01:47 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.


© 2001-2024 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt