SELFPHP: Version 5.8.2 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



:: Buchempfehlung ::

Handbuch der Java-Programmierung

Handbuch der Java-Programmierung zur Buchempfehlung
 

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Zurück   PHP Forum > SELFPHP > PHP Grundlagen

PHP Grundlagen Hier kann über grundlegende Probleme oder Anfängerschwierigkeiten diskutiert werden

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 16.01.2018, 13:07:56
JuergenS JuergenS ist offline
Anfänger
 
Registriert seit: Jan 2018
Alter: 48
Beiträge: 5
JuergenS befindet sich auf einem aufstrebenden Ast
Wie implementiert man eine passwortgeschützte Benutzerverwaltung?

Hallo zusammen!

Ich bin neu hier und habe keine Ahnung!

Ich möchte eine neue Webseite aufbauen, die folgende Eigenschaften hat:
  1. Startseite passwortgeschützt mit Login für von mir verwaltete Benutzer
  2. (Keine eigene Registrierung möglich und nötig)
  3. Benutzer uploadet eine Textdatei, die verarbeitet wird, und erhält ein PDF zurück.
  4. Alle diese Transfers sollen verschlüsselt sein (https).
  5. Der Benutzer und auch kein Dritter darf die Scripte sehen.
  6. Sicherheit spielt eine große Rolle
Letzterer Punkt ist auch der Grund, weshalb ich mich in diesem Forum angemeldet habe.

Ich hatte zunächst vor, dies im Rahmen meiner Webseite mit Wordpress zu realisieren.
Nachdem meine Webseite aber gehackt wurde, ist mir das zu unsicher. Angesichts dessen,
dass ich keinerlei graphisch aufwendige Seiten erstellen will, sondern nur ganz elementare
Funktionen verwenden möchte, suche ich nach einer Lösung, die einfach und sicher ist.

Ich würde mich sehr über Tipps freuen!

Vielen Dank!

Jürgen

Geändert von JuergenS (16.01.2018 um 13:29:22 Uhr)
Mit Zitat antworten
  #2  
Alt 16.01.2018, 13:54:37
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.652
vt1816 hat die Renommee-Anzeige deaktiviert
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?

Hallo und willkommen hier im Forum.


Zitat:
Zitat von JuergenS Beitrag anzeigen
Hallo zusammen!

Ich bin neu hier und habe keine Ahnung!
Lässt sich ändern ...

Zitat:
Zitat von JuergenS Beitrag anzeigen
Ich möchte eine neue Webseite aufbauen, die folgende Eigenschaften hat:
  1. Startseite passwortgeschützt mit Login für von mir verwaltete Benutzer
  2. (Keine eigene Registrierung möglich und nötig)
  3. Benutzer uploadet eine Textdatei, die verarbeitet wird, und erhält ein PDF zurück.
  4. Alle diese Transfers sollen verschlüsselt sein (https).
  5. Der Benutzer und auch kein Dritter darf die Scripte sehen.
  6. Sicherheit spielt eine große Rolle
Letzterer Punkt ist auch der Grund, weshalb ich mich in diesem Forum angemeldet habe.
  1. realisierbar Mittels .htaccess
  2. ---
  3. Soll die Verarbeitung automatisiert erfolgen oder per Hand? Ansonsten kein Problem.
  4. Deine Webseite unterstützt bereits https? Sonst frage bei Deinem Provider nach.
  5. Ist unmöglich, selbst wenn Du auf Deinem eigenen Server bei Dir im Keller/Arbeitszimmer hostest - denn der Admin von Deinem Provider hat immer Zugriff auf Deinen bei ihnen gehosteten Code
  6. Was ist im Internet schon sicher?
Freue mich auf eine rege Diskussion.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #3  
Alt 16.01.2018, 15:50:37
JuergenS JuergenS ist offline
Anfänger
 
Registriert seit: Jan 2018
Alter: 48
Beiträge: 5
JuergenS befindet sich auf einem aufstrebenden Ast
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?

Vielen Dank für den Beitrag!
  1. Mittels .htaccess wäre eine Möglichkeit. Ich weiß aber nicht, ob das auch mit
    nicht-MD5-basierten Hashfunktionen geht (die gelten als unsicher) und ob ich
    das alles nur mit einem SFTP-Zugang zu meinem Server realisieren kann.
    Mich interessieren daher auch PHP-basierte Lösungen mit Sessionverwaltung etc.
    MySQL ist natürlich vorhanden.
  2. -
  3. Verabeitung erfolgt automatisiert aber individuell, d.h. ich muss für jeden
    Nutzer ein eigenes Script schreiben. Das ist aber das geringste Problem,
    denn ich habe das meiste schon in Perl geschrieben.
  4. Deiner Antwort entnehme ich, dass es genügt, wenn der Server https kann.
    Jetzt muss ich nur noch den Nutzer "zwingen", https zu nutzen.
  5. Mit Dritten meine ich nicht den Provider, der ist nicht das Problem,
    sondern irgendwelche Kriminelle, die mal wieder meine Webseite hacken möchten.
  6. Mir geht es natürlich darum, ein möglichst hohes Maß an Sicherheit zu haben.
    Das Problem ist halt: Verwende ich irgend ein CMS, dann habe ich einen riesigen
    Overkill an Funktionen, die ich nicht brauche und das Risiko, dass wegen der
    Komplexität des CMS Schwachstellen vorhanden sind. Nehme ich dagegen eine
    "selbstgestrickte" PHP-Lösung könnte es sein, dass mangelnde Fachkompetenz
    die Ursache für die Schwachstelle ist.
Gut fand ich diesen Beitrag:

https://de.wikihow.com/Ein-sicheres-...ySQL-erstellen

Ich kann bloß nicht beurteilen, wie aktuell das ist und ob es dem Stand der Technik entspricht.
Mit Zitat antworten
  #4  
Alt 16.01.2018, 15:55:18
sysop sysop ist offline
Member
 
Registriert seit: Mar 2004
Ort: wien
Beiträge: 505
sysop befindet sich auf einem aufstrebenden Ast
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?

Eigener Server?

Linux, dann käme noch pam als Authentifizierung in Frage. Der Indianer kann das perfekt, dann ist auch später eine Erweiterung der Dienste und erweiterte Rechteverwaltung NULL Problem.
__________________
Gruss sys ;-)
Ich möchte wie mein Grossvater sterben, lächelnd und schlafend, nicht schreiend und weinend, wie sein Beifahrer.
Mit Zitat antworten
  #5  
Alt 16.01.2018, 16:12:41
JuergenS JuergenS ist offline
Anfänger
 
Registriert seit: Jan 2018
Alter: 48
Beiträge: 5
JuergenS befindet sich auf einem aufstrebenden Ast
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?

Zitat:
Zitat von sysop Beitrag anzeigen
Eigener Server?
Nein, noch nicht. Ich nehme entweder eine Subdomain meiner Homepage
oder ein Webhosting-Paket.
Mit Zitat antworten
  #6  
Alt 17.01.2018, 09:01:44
sysop sysop ist offline
Member
 
Registriert seit: Mar 2004
Ort: wien
Beiträge: 505
sysop befindet sich auf einem aufstrebenden Ast
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?

Dann ist wohl .htaccess die beste Variante.
__________________
Gruss sys ;-)
Ich möchte wie mein Grossvater sterben, lächelnd und schlafend, nicht schreiend und weinend, wie sein Beifahrer.
Mit Zitat antworten
  #7  
Alt 23.01.2018, 10:10:04
JuergenS JuergenS ist offline
Anfänger
 
Registriert seit: Jan 2018
Alter: 48
Beiträge: 5
JuergenS befindet sich auf einem aufstrebenden Ast
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?

Zitat:
Zitat von sysop Beitrag anzeigen
Dann ist wohl .htaccess die beste Variante.
Und was wäre die zweitbeste Alternative?

Es gibt einige Vorlagen für Benutzerverwaltungen mittels PHP
im Internet, ich kann aber nicht beurteilen, was dem Stand
der Technik entspricht.
Mit Zitat antworten
  #8  
Alt 25.01.2018, 12:59:23
sysop sysop ist offline
Member
 
Registriert seit: Mar 2004
Ort: wien
Beiträge: 505
sysop befindet sich auf einem aufstrebenden Ast
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?

Die zweitbeste Variante ist wohl eine Userverwaltung und Login über php oder ähnliche Scriptsprachen.
Da bieten schon die Interpreter der Scriptsprachen einiges an Angriffsfläche.

Derartiges kommt eher zum Einsatz, wenn man recht viele User verwalten muss.
__________________
Gruss sys ;-)
Ich möchte wie mein Grossvater sterben, lächelnd und schlafend, nicht schreiend und weinend, wie sein Beifahrer.
Mit Zitat antworten
  #9  
Alt 26.01.2018, 13:14:58
JuergenS JuergenS ist offline
Anfänger
 
Registriert seit: Jan 2018
Alter: 48
Beiträge: 5
JuergenS befindet sich auf einem aufstrebenden Ast
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?

Zitat:
Zitat von sysop Beitrag anzeigen
Da bieten schon die Interpreter der Scriptsprachen einiges an Angriffsfläche.
Aber dieses Problem habe ich in jedem Fall, da ich ja Daten verarbeiten
muss, die der Nutzer uploadet. Diese Daten werde ich vermutlich mit
PHP oder einer anderen Scriptsprache verarbeiten und dann ist die
Angriffsfläche in jedem Fall vorhanden.

Was ich bei der .htaccess-Variante vermisse ist eine vernünftige
Session-Verwaltung. Besteht nicht bei der .htaccess-Variante die
Möglichkeit, dass ein Angreifer eine andere Session übernimmt?

Wenn ich also eine Userverwaltung über PHP verwende, wo finde
ich eine Anleitung, die auf dem neuesten Stand der Technik ist?

Vielen Dank für alle Tipps!

Gruss Jürgen
Mit Zitat antworten
  #10  
Alt 26.01.2018, 13:50:22
Benutzerbild von vt1816
vt1816 vt1816 ist offline
Administrator
 
Registriert seit: Jul 2004
Beiträge: 3.652
vt1816 hat die Renommee-Anzeige deaktiviert
AW: Wie implementiert man eine passwortgeschützte Benutzerverwaltung?

Zitat:
Zitat von JuergenS Beitrag anzeigen
Aber dieses Problem habe ich in jedem Fall, da ich ja Daten verarbeiten
muss, die der Nutzer uploadet. Diese Daten werde ich vermutlich mit
PHP oder einer anderen Scriptsprache verarbeiten und dann ist die
Angriffsfläche in jedem Fall vorhanden.
Aber erst nach der Prüfung der Zugangsberechtigung.


Zitat:
Zitat von JuergenS Beitrag anzeigen
[..]
Was ich bei der .htaccess-Variante vermisse ist eine vernünftige
Session-Verwaltung. Besteht nicht bei der .htaccess-Variante die
Möglichkeit, dass ein Angreifer eine andere Session übernimmt?
Bitte .htacces (Apache - Serverbetriebssystem) und Session-Verwaltung (PHP - Scriptsprache) gedanklich trennen.


Zitat:
Zitat von JuergenS Beitrag anzeigen
[..]
Wenn ich also eine Userverwaltung über PHP verwende, wo finde
ich eine Anleitung, die auf dem neuesten Stand der Technik ist?
So blöd wie es klingt, wie wäre es mit dem Internet. Da es ständig Veränderungen sowohl im Angriff als auch in der Verteidigung von Angriffen gibt, sind auch (aktuelle - was ist aktuell?) Bücher schon mit Drucklegung nicht mehr zwingend auf dem aktuellsten Stand.
__________________
Gruss vt1816
Erwarte nicht, dass sich jemand mehr Mühe mit der Antwort gibt als Du Dir mit der Frage.
. . . . . Feedback wäre wünschenswert

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.
Ansosnten gilt: Hilfe ausserhalb dieses Thread (PN, WhatsApp, Skype, Mail, ICQ, etc...) nur per Barzahlung oder Vorauskasse!

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
Antwort

Stichworte
benutzerverwaltung


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Wohin mit der Benutzerverwaltung blutigeranfänge MySQL 6 22.10.2010 11:03:11
INSERT INTO über zwei passwortgeschützte DBs auf einem Server guitarslinger MySQL 12 19.02.2009 08:42:38
Bibliothek für Benutzerverwaltung Generator PHP für Fortgeschrittene und Experten 10 28.04.2005 20:11:22
gästebuch mit benutzerverwaltung melliche PHP Grundlagen 0 24.06.2004 15:29:15
Wie mache ich eine Benutzerverwaltung? Holger Specht PHP Grundlagen 2 29.08.2003 14:23:17


Alle Zeitangaben in WEZ +2. Es ist jetzt 07:14:59 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.


© 2001-2018 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt