|
[PHP] Verständnisfrage zu Passwort abfrage
Moin ;-)
Ich will ein Single-User-Loginsystem in PHP coden. Doch ist es sicher, einfach eine php file namens "password.php" zu erstellen, in der das Passwort steht und diese zu includen und den wert der Eingabe zu vergleichen ? ich meine den PHP Code bekommt man ja nie zu gesicht und password.php einfach so aufrufen kann man ja auch nicht. Oder kann die variable $Passw zum Bleistift einfach so von ner externen Seite aus ausgelesen werden? Frage : Ist dieser Weg also sicher ? Bin dankbar für jeden Tipp ;-) Gruß Assun |
Re: [PHP] Verständnisfrage zu Passwort abfrage
Solange du nicht einfach das pw in ne datei schreibst sondern sowas wie:
Code:
machst kann nix passieren.
<?php
$pw = 'lala'; ?> |
Re: [PHP] Verständnisfrage zu Passwort abfrage
An die Daten sollte keiner rankommen, wenn sie in einer PHP Datei stehen. Du kannst auch noch folgendes machen:
Code:
//password.php
<?php if (!defined('IN_LOGIN')) { die; } $pass = 'xyz'; ?>
Code:
Sollte aber nicht nötig sein.
//login.php
<?php define('IN_LOGIN', true); include('password.php'); ... ?> Sicherheitslücken können nur durch andere Scripte auf deiner Seite entstehen. Bspw. wenn du eine Dateiauflistung oder so hast, mit der man die Dateien auch ansehen kann. Viele denken dann man könnte nur im aktuellen Verzeichnis surfen, dabei reicht meist ein einfaches ../ aus um ins nächst höhere Verzeichnis zu gelangen. |
Re: [PHP] Verständnisfrage zu Passwort abfrage
Ansonsten kann man dir noch empfehlen nur die Hash des Passworts abzuspeichern und dann beim Login das eingegebene Passwort zu hashen und dann die Hashes zu vergleichen.
 http://de2.php.net/sha1http://de2.php.net/md5http://de2.php.net/crypt |
Re: [PHP] Verständnisfrage zu Passwort abfrage
Ich nutze für solche Geschichten ".Htacess".
Das erspart einem das gewurschelt per SID. Noch ein Tipp: Die Datei mit dem Passwort würde ich ".ht_xxxx" nennen. Ganz einfach weil Apache diese im Normalfall nicht anzeigt. |
Re: [PHP] Verständnisfrage zu Passwort abfrage
Da würde ich die Datei doch lieber als PHP lassen und außerhalb des Webverzeichnisses auf den Server legen. So kann nur das PHP Script drauf zugreifen, der User über den Browser aber nicht direkt.
|
Re: [PHP] Verständnisfrage zu Passwort abfrage
Zitat:
|
Re: [PHP] Verständnisfrage zu Passwort abfrage
Die sauberste Lösung ist es, wie Mystic schon geschrieben hat, mit dem Hash des Passworts zu arbeiten.
Noch "sauberer" ist die Variante, die die Ermittlung des Hashes schon beim Client macht, da dann das Kennwort *NIE* im Klartext über's Internet geht. Eine Artikel darüber gibt's bei SelfHTML hier. |
Re: [PHP] Verständnisfrage zu Passwort abfrage
aber ist es nicht möglich einfach von einem anderen server aus mit einer php file die genauso aussieht :
Zitat:
|
Re: [PHP] Verständnisfrage zu Passwort abfrage
Wenn die PHP-Seite über http abgerufen wird (und nur das können andere Server), dann bekommt man ja nicht den Quelltext sondern das Ergebnis zu sehen. Wenn die Passwortdatei also kein "echo $password;" macht, dann passiert garnichts. Rufe deine Passwortdatei doch mal direkt im Browser auf (natürlich nicht von der Festplatte sondern über den Server), dann siehst du was passiert.
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:39 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz