Passwortschutz

    auch wenn man mit html einfache logins bauen kann, sind diese nicht sicher da jeder der Ahnung hat das Passwort aus dem Quellcode rausliest?

    genau.
    Veranschaulichend dafür ist das "Hackergame" wo man in 9Levels aus Javascript&HTML das PW auslesen muss um Zugriff zum Memberbereihc zu kriegen. Ich bin nicht sonderlich bewandert darin, habe es allerdings innerhalb 5min hingekriegt.

    [edit]
    Sicherheit muss IMMER nach dem Motto "never thrust users" kommen! D.h. immer auf serverseitige Sicherheit und nicht auf die Benutzer vertrauen!

    Hallo mal an alle. (ja ich bin neu hier)

    Ich programmiere HTML,PHP und Javascript. Aber nicht das fertige Zeug sondern von Grund auf alles selber.
    Ein Anfänger wie ich hat natürlich nen Haufen Fehler wenn man von Sicherheit keine Ahnung hat.

    Auf meiner HP hab ich ne Bildergallerie erstellt die einen registrierten Benutzer erlaubt eigene Gallerien zu erstellen und Bilder hochzuladen.
    Sowie einen Admin-Bereich wo man mit dem richtigen Login eine Registrierung hinzufügen kann. (Noch. Eine Registrierung via Mail steht noch aus sowie auch ein Forum).

    Meine Frage ist eben ob es sicher ist über Sessions abzufragen ob ein User eingeloggt ist oder nicht und welche Rechte er hat.

    Ob man in den Admin-Bereich kommt wird in einer Mysql-Tabelle abgefragt.

    Ich wäre jeden dankbar der mir die Fehler aufzeigt die ich auf meiner HP habe und ob es eine Leichtigkeit ist unregistriert etwas zu verändern oder Fehler zu
    erzeugen.

    Weiter bin ich mit meinen aktuellen Wissen gerne bereit anderen zu helfen (is doch logisch)

    Ähh, noch was bitte, meine Seite nicht als Spam ansehen weil ich Bilder von einen Online-Spiel hochgeladen habe und das Forum zum verlinken nutze.
    Es geht mir rein um den Aufbau meiner HP und deren Funktionen.

    Danke schon mal im voraus.

    mfg Chris
    PC-Page

    session's sind serverseitige Abspeicherungen und somit sicherer als Cookies, MysqlDatenbanken e.t.c.

    Das einzige worauf du bei den Login Boxen aufpassen musst, ist dass deine MysqlKommandos nicht nach dem typ

    SQL
    SELECT * FROM passwords WHERE password = $_POST['formulardaten']


    ist, da man in solchen Fällen leicht SQL-Injections vornehmen kann!

    Man muss den String einfach mit mysql_real_escape_string() maskieren. Das würde dann so aussehen:

    SQL
    SELECT * FROM passwords WHERE password = mysql_real_escape_string($_POST['formulardaten'])

    Kein Support via PN
    Geld ist das Wichtigste im Leben. Doch es gibt Schnöneres.
    http://www.tufat.com/aff.php?id=2516 | EaysHP CMS - (Die RC2 ist da!)

    Du brauchst jemanden, der dir ein eigenes Skript in PHP & MySQL programmiert? PN hier an mich.

    Danke für die schnelle Antwort.
    ich verwende eigentlich nicht mysql_real_escape_string:

    Um eingaben zu reinigen verwende ich

    Code
    rawurlencode(trim($_POST["pass"]))

    vorher umwandlung in Kleinschreibung und dergl.
    Ist das zu unsicher?

    natürlich ist der code auch in der Art und Weiße in der Tabelle gespeichert


    mfg