Welches Verfahren als Loginscript?

XantypiaxD

Abend zusammen.

Ich bin derzeit dran eine Website zu errichten.

Bin jetzt an meinem ersten wirklichen Problem angelangt.

Das Loginscript.

Die Frage ist, welche Variante ich dazu benutzen soll? Bzw. kann ich überhaupt aus verschiedenen auswählen? Wenn Ja, welche ist die Beste (Sicherste)?

Gibt es evtl. schon diverse Vorlagen die mir helfen könnten?

Habe bis jetzt immer mit Sessions gearbeitet. In Sachen Sicherheit weiss ich aber noch nicht zu 100% bescheid. Macht es Sinn die Session in einer Tabelle abzuspeichern?

Für die Antworten danke ich

MfG XantypiaxD

threadi

Meinst Du mit Verfahren die Art der technischen Realisierung oder den Ablauf einer Registrierung und Logins aus Nutzersicht?

XantypiaxD

Schon die technische Realisierung.. Also ob mit Sessions gearbeitet werden soll.. z.B.

Grevas

zu deinem Beispiel (jenachdem, können cookies zusätzlich nett sein):

und nicht alzulanges googlen:
http://www.administrator.de/index.php?content=40282

Also, äh, ja. Optimalerweise sollten die usernamen & pw-hashes in einer Datenbank sein (fals die user sich selbst registrieren sollen können - sonst tuts auch eine PHP liste)

/p.s. aus diesem Beispiel solltest du allerdings $_SERVER['PHP_SELF'] nicht übernehmen.

XantypiaxD

Danke danke
Hat mich bei meiner Entscheidung unterstützt

Edit: Ist es sinnvoll die Session in eine Tabelle einzuschreiben und sie auf gültigkeit abzufragen?
Oder sollte ich lieber "normal" Sessions abspeichern, wie im Beispiel.

Edit2: Warum darf ich nicht $_SERVER['PHP_SELF'] .. gibt es dafür eine bessere Lösung?

jojo87

Trage die urls direkt ein. Die $_SERVER Globale kann vom user manipuliert sein.

Pion

Du kannst immer mehr Sicherheit integrieren aber irgentwann sind die Änderungen minimal, oder schaden stärk der Userusability folgendes sollte man aber in dem Zusammenhang schon einmal durchsprechen:

1. Session-IDs werden nach manchen aktionen oder Zeit neu generiert
2. Passwörter werden gehash und gesaltet in die DB gespeichert
3. Optional: IP/Agenten erkennungen und jenachdem Multilogins verschiedener IPS vermeiden (für einen gültigen Login)
4. Optional: Cookies für langen Login, auch wenn der Brwser mal geschlossen wird (RememberMe)
5. Optional: SessionDBHandler
6. Optional: Session in UserTabelle (für einen gültigen Login)
7. Optional: Anmeldung, botSperren, Emailaktivierungen
8. Optional: Passwort vergessen über Email oder ähnlichen

Fazit: Man sollte immer schauen für was der Login ist, Communitys sind anders abzusichern als Spiele und die anderes als Seiten die mit Finanzen arbeiten

Das oben genannte Beispiel funktioniert, aber kaum zu empfehlen.
Wenn man nicht die kenntnisse hat soll man sich nicht an ein Login waagen, dass geht meistens schief

mfg

Grevas

Zitat von Pion

[...]
Fazit: Man sollte immer schauen für was der Login ist, Communitys sind anders abzusichern als Spiele und die anderes als Seiten die mit Finanzen arbeiten

Das oben genannte Beispiel funktioniert, aber kaum zu empfehlen.
Wenn man nicht die kenntnisse hat soll man sich nicht an ein Login waagen, dass geht meistens schief
[...]

Wenn wir schon dabei sind:

9. Overengineering

Fazit:
Das Script deckt eine Loginprozedur super ab. Bis auf die 2 Mankos die ich bereits erwähnte.

RememberMe, User- /AcitivityTracking, Anmeldung gehen hier ganz schön am Thema vorbei. Wie du RememberMe und IP-Bindung des Logins so nah beieinander erwähnen kannst, bleibt mir ein Rätsel - aber egal, Hauptsache du hast irgendwas gesagt .

/P.S. um auf die Frage von XantypiaxDhttps://www.forum-hilfe.de/members/14301-XantypiaxD einzugehen:
brauchst die Session nicht in einer Tabelle zu speichern. Ich persönlich prüfe bei jedem Aufruf nochmal die eingegeben Logindaten ab (in der Session speicher ich nur den passwort-hash, nicht den input) - falls warum auch immer ein User gesperrt werden soll, wird er es damit auch sofort. Wenn du sowas aber nicht brauchst, reicht im prinzip auch ein $_SESSION['loged_in'] = true;

XantypiaxD

Danke für eure Antworten Hat mir sehr geholfen.

Habe jetzt dennoch ein kleines Problem. Habe jetzt sobald ich angemeldet bin und die
Daten stimmen, eine Weiterleitung in den "geschützten" Bereich geplant.

Ich wollte dies eigentlich mit header() umsetzen. Aber ich bekommen den allseits bekannten
"Header already sent"-Fehler... Habe jetzt schon sämtliche Sachen ausprobiert (ob_start(), ...)
aber ich weiss einfach nicht was ich falsch mache, bzw wie ich es anders lösen könnte..

Hier meine Codes:

index.php

PHP

<?php
session_start();
?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
   "http://www.w3.org/TR/html4/loose.dtd">
<html>	
<head>
	<title>TestPage</title>
	<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
	<link rel="stylesheet" type="text/css" href="style.css">
	<script type="text/javascript" src="js/jquery-1.4.3.min.js"></script>
	<script type="text/javascript" src="js/jq_func.js"></script>
	<script type="text/javascript" src="js/js_func.js"></script>
</head>


<body>
<div id="wrap">
<div id="content">
<div id="d1"></div>
<div id="d2">
	<div id="d2_left">
	<div id="login_area"><?php include('lib/login.php'); ?></div>
	</div>
	<div id="d2_right"></div>
</div>
<div style="clear:left;"></div>
<div id="d3">
	<?php
	$page = $_GET['p'];
	if($page != "")
	{
	include('lib/'.$page.'.php');
	}
	else
	{
	include('lib/home.php');
	}

?>
</div>
<div id="d4"></div>
</div>
</div>


</body>
</html>

Alles anzeigen

login.php

PHP

<?php


if(isset($_POST['log_submit']))
{
$log_username = $_POST['username'];
$log_passwort = md5($_POST['passwort']);


include_once('include/config/connect.php');


$res = mysql_query("SELECT `mail`, `passwort` FROM `user` LIMIT 1;");
$row = mysql_fetch_array($res);


$real_username = $row['mail'];
$real_passwort = $row['passwort'];




if(isset($log_username, $log_passwort)) {
	if(($log_username == $real_username) && ($log_passwort == $real_passwort)) {
		header("Location: index.php");
	}
	else {
		echo 'Nicht geklappt!';
	}
}


}
else {
?>
<table style="font-size:13px;">
	<tr>
		<td>E-Mail:</td>
		<td>Passwort:</td>
		<td></td>
	</tr>
	<tr><form name="log_form" method="post" action="">
		<td><input type="text" id="log_user" name="username"></td>
		<td><input type="password" id="log_pw" name="passwort"></td>
		<td><input type="submit" id="log_button" name="log_submit" value="Anmelden" onClick="return log_control()"></td>
	</tr>
	<tr>
		<td style="color:#515151; font-size:12px;"><input type="checkbox" name="log_check" checked> Angemeldet bleiben</td>
		<td style="color:#515151; font-size:12px;">Passwort vergessen?</td>
		<td></td>
	</tr></form>
</table>
<?php
}
?>

Alles anzeigen

Grevas

Ganz ehrlich, irgendwo reichts.
Sagst schon selbst, dass das Problem 'berühmt' ist - bemüh die Suche und versuch es zu verstehen... Wurde sogar hier im Forum schon zigmale erklärt.

Pion

Schau dir mal CMS Systeme an

synaptic

Xanti, bemüh dich mal darum das EVA-prinzip zu verstehen...
und wenn du schon buffer verwenden willst, dann mach es richtig, dann klappt das auch..
header klapt nicht, wenn du vorher nen output hattest, also sorge dafür dass es so is.
vielleicht solltest du doch direkt mit klassen arbeiten, welche die nur verarbeiten und dann bauste die nen view-modul, was die daten aus deinen kontrollklassen auswerten und danach anzeigen kann

XantypiaxD

wuh.. viel fürs erste.. aber Danke

Tags