AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein [PHP] Verständnisfrage zu Passwort abfrage
Thema durchsuchen
Ansicht
Themen-Optionen

[PHP] Verständnisfrage zu Passwort abfrage

Ein Thema von Assun · begonnen am 15. Aug 2005 · letzter Beitrag vom 16. Aug 2005
Antwort Antwort
Seite 1 von 3  1 23      
Benutzerbild von Assun
Assun

Registriert seit: 3. Feb 2005
Ort: Hilzingen am Bodensee
469 Beiträge
 
Delphi 2005 Personal
 
#1

[PHP] Verständnisfrage zu Passwort abfrage

  Alt 15. Aug 2005, 18:01
Moin

Ich will ein Single-User-Loginsystem in PHP coden.

Doch ist es sicher, einfach eine php file namens "password.php" zu erstellen, in der das Passwort steht und diese zu includen und den wert der Eingabe zu vergleichen ?

ich meine den PHP Code bekommt man ja nie zu gesicht und password.php einfach so aufrufen kann man ja auch nicht.

Oder kann die variable $Passw zum Bleistift einfach so von ner externen Seite aus ausgelesen werden?

Frage : Ist dieser Weg also sicher ?

Bin dankbar für jeden Tipp

Gruß Assun
Sebastian Dietrich
http://Assun.de - bald komplett überarbeitet
  Mit Zitat antworten Zitat
Neuni

Registriert seit: 25. Feb 2004
815 Beiträge
 
Delphi 7 Personal
 
#2

Re: [PHP] Verständnisfrage zu Passwort abfrage

  Alt 15. Aug 2005, 18:13
Solange du nicht einfach das pw in ne datei schreibst sondern sowas wie:
Code:
<?php
$pw = 'lala';
?>
machst kann nix passieren.
  Mit Zitat antworten Zitat
Benutzerbild von Pr0g
Pr0g

Registriert seit: 21. Mai 2004
809 Beiträge
 
Delphi 7 Personal
 
#3

Re: [PHP] Verständnisfrage zu Passwort abfrage

  Alt 15. Aug 2005, 18:29
An die Daten sollte keiner rankommen, wenn sie in einer PHP Datei stehen. Du kannst auch noch folgendes machen:
Code:
//password.php
<?php
  if (!defined('IN_LOGIN')) {
    die;
  }
  $pass = 'xyz';
?>
Code:
//login.php
<?php
  define('IN_LOGIN', true);
  include('password.php');
  ...
?>
Sollte aber nicht nötig sein.

Sicherheitslücken können nur durch andere Scripte auf deiner Seite entstehen. Bspw. wenn du eine Dateiauflistung oder so hast, mit der man die Dateien auch ansehen kann. Viele denken dann man könnte nur im aktuellen Verzeichnis surfen, dabei reicht meist ein einfaches ../ aus um ins nächst höhere Verzeichnis zu gelangen.
  Mit Zitat antworten Zitat
Benutzerbild von Mystic
Mystic

Registriert seit: 18. Okt 2003
Ort: Flerzheim
420 Beiträge
 
Turbo Delphi für Win32
 
#4

Re: [PHP] Verständnisfrage zu Passwort abfrage

  Alt 15. Aug 2005, 19:07
Ansonsten kann man dir noch empfehlen nur die Hash des Passworts abzuspeichern und dann beim Login das eingegebene Passwort zu hashen und dann die Hashes zu vergleichen.

http://de2.php.net/sha1
http://de2.php.net/md5
http://de2.php.net/crypt
Jan Steffens
Der Fachwortgenerator - 100% Schwachsinn --- Der UPnP Router Manager - Kommentare erwünscht!
  Mit Zitat antworten Zitat
bigg
(Gast)

n/a Beiträge
 
#5

Re: [PHP] Verständnisfrage zu Passwort abfrage

  Alt 15. Aug 2005, 19:21
Ich nutze für solche Geschichten ".Htacess".
Das erspart einem das gewurschelt per SID.

Noch ein Tipp:
Die Datei mit dem Passwort würde ich ".ht_xxxx" nennen.
Ganz einfach weil Apache diese im Normalfall nicht anzeigt.
  Mit Zitat antworten Zitat
Benutzerbild von Pr0g
Pr0g

Registriert seit: 21. Mai 2004
809 Beiträge
 
Delphi 7 Personal
 
#6

Re: [PHP] Verständnisfrage zu Passwort abfrage

  Alt 15. Aug 2005, 22:24
Da würde ich die Datei doch lieber als PHP lassen und außerhalb des Webverzeichnisses auf den Server legen. So kann nur das PHP Script drauf zugreifen, der User über den Browser aber nicht direkt.
  Mit Zitat antworten Zitat
bigg
(Gast)

n/a Beiträge
 
#7

Re: [PHP] Verständnisfrage zu Passwort abfrage

  Alt 16. Aug 2005, 01:02
Zitat:
Da würde ich die Datei doch lieber als PHP lassen und außerhalb des Webverzeichnisses auf den Server legen. So kann nur das PHP Script drauf zugreifen, der User über den Browser aber nicht direkt.
Sofern die Möglichkeit besteht, klar.
  Mit Zitat antworten Zitat
Benutzerbild von Flocke
Flocke

Registriert seit: 9. Jun 2005
Ort: Unna
1.172 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#8

Re: [PHP] Verständnisfrage zu Passwort abfrage

  Alt 16. Aug 2005, 07:53
Die sauberste Lösung ist es, wie Mystic schon geschrieben hat, mit dem Hash des Passworts zu arbeiten.

Noch "sauberer" ist die Variante, die die Ermittlung des Hashes schon beim Client macht, da dann das Kennwort *NIE* im Klartext über's Internet geht. Eine Artikel darüber gibt's bei SelfHTML hier.
Volker
Besucht meine Garage
Aktuell: RtfLabel 1.3d, PrintToFile 1.4
  Mit Zitat antworten Zitat
Benutzerbild von Assun
Assun

Registriert seit: 3. Feb 2005
Ort: Hilzingen am Bodensee
469 Beiträge
 
Delphi 2005 Personal
 
#9

Re: [PHP] Verständnisfrage zu Passwort abfrage

  Alt 16. Aug 2005, 14:49
aber ist es nicht möglich einfach von einem anderen server aus mit einer php file die genauso aussieht :

Zitat:
//login.php
<?php
define('IN_LOGIN', true);
include('password.php');
...
?>
auf meinen Server meine passw variable zuzugreifen ?
Sebastian Dietrich
http://Assun.de - bald komplett überarbeitet
  Mit Zitat antworten Zitat
Benutzerbild von Flocke
Flocke

Registriert seit: 9. Jun 2005
Ort: Unna
1.172 Beiträge
 
Delphi 10.2 Tokyo Professional
 
#10

Re: [PHP] Verständnisfrage zu Passwort abfrage

  Alt 16. Aug 2005, 14:52
Wenn die PHP-Seite über http abgerufen wird (und nur das können andere Server), dann bekommt man ja nicht den Quelltext sondern das Ergebnis zu sehen. Wenn die Passwortdatei also kein "echo $password;" macht, dann passiert garnichts. Rufe deine Passwortdatei doch mal direkt im Browser auf (natürlich nicht von der Festplatte sondern über den Server), dann siehst du was passiert.
Volker
Besucht meine Garage
Aktuell: RtfLabel 1.3d, PrintToFile 1.4
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 3  1 23      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 21:55 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz