brauche hilfe bei erstellung eines einfachen login scripts

Probiers mal so

<?php
$verbindung = mysql_connect("host","username","passwort") or die("keine verbindung möglich");


mysql_select_db("spiel") or die("datenbank exisitiert nicht");        


if ($_SERVER['REQUEST_METHOD'] == 'POST')
{
    // POST Variablen auslesen
    $username = $_POST['username'];
    $passwort = $_POST['passwort'];
    $passwort = md5($passwort);


    // Prüfen ob es einen Benutzer mit dem Usernamen und dem passenden Passwort gibt
    $abfrage = "SELECT `password` FROM `User` WHERE `username` = '" . mysql_real_escape_string($username, $verbindung) . "' AND `passwort` = '" . mysql_real_escape_string($passwort, $verbindung) . "'";
    $ergebnis = mysql_query($abfrage) or die("MySQL Fehler: " . mysql_error());

    if (mysql_num_rows($ergebnis))
    {
        // Benutzer wurde gefunden
        echo "Herzlich Willkommen";

    }
    else
    {
        // Benutzer wurde nicht gefunden
        echo "Login fehlgeschlagen";

    }
}


?>

Hier ein paar Links:
http://de3.php.net/mysql_num_rows
http://de2.php.net/mysql_real_escape_string

Versuch dich erstmal an ein paar Tutorials z.B. hier:
http://tut.php-quake.net/de/

Zitat von Bandit

Ein mysql_real_escape_string ist nicht nötig. Da du einen MD5-Hash erzeugst, muss man das dann nicht mehr machen.

upsala^^ war auf die schnelle duchgeochst xD

if ($_SERVER['REQUEST_METHOD'] == 'POST')

Dafür gibts isset.
Und md5 ist zum hashen von PWs schon lange nicht mehr sicher.
Wenn man schon auf md5 setzt sollte man wenigstens einen Random Salt nutzen der zusammen mit dem md5 Hash mehrfach gehasht wird.

Zitat von Weedking

PHP

if ($_SERVER['REQUEST_METHOD'] == 'POST')

Dafür gibts isset.
Und md5 ist zum hashen von PWs schon lange nicht mehr sicher.
Wenn man schon auf md5 setzt sollte man wenigstens einen Random Salt nutzen der zusammen mit dem md5 Hash mehrfach gehasht wird.

REQUEST_METHOD ist ein total gängige Variante um zu prüfen ob die Datei im per POST aufgerufen wurde, ich weiss nicht was du hast? wüsste nicht, dass es da einen wirklichen Vorteil bei isset() gäbe oder irre ich mich da?
Und das ich ausversehen das Passwort durch ein kurzes Zeitfenster auf der Arbeit escaped habe, wurde doch schon angemerkt?

Zitat von crAzywuLf

REQUEST_METHOD ist ein total gängige Variante um zu prüfen ob die Datei im per POST aufgerufen wurde, ich weiss nicht was du hast? wüsste nicht, dass es da einen wirklichen Vorteil bei isset() gäbe oder irre ich mich da?
Und das ich ausversehen das Passwort durch ein kurzes Zeitfenster auf der Arbeit escaped habe, wurde doch schon angemerkt?

Wieso ist es wichtig ob die Seite per Post aufgerufen wurde? Ich differenziere da in den seltensten Fällen. Ein Login-Formular verwendet selbstverständlich als method POST, aber wenn sich nen User nen GET-String zusammenbaut um sich direkt mit einem Aufruf einloggen zu können soll er das von mir aus machen, wenn ihn das Risiko seines Klartext-Passworts in der URL nicht stört.

Wenn die Werte vom Script nicht abgefragt werden, würden sowie so keine Get werte funktionieren. Von daher ist diese Prüfung sinlos.
Macht eben einen Unterschied ob man die Werte mit $_GET[] holt oder eben mit $_POST[]

Siehe hier mal ein gutes anfänger Login Tutorial:
http://staticfloat.com/2011/03/01/log…benutzerkonten/

Mfg Splasch

Wenn man mit $_REQUEST (bzw. einem request-Objekt) arbeitet macht es keinen Unterschied. Dann braucht man nichtmal Weichen für Autologins mit Cookies.

wenn es schon sicher sein soll, sollte auch auf eine Mindestlänge des Passworts geachtet werden...

Zunächst mal sollte man zwischen einen Hash und Verschlüsseln unterscheiden. Das sind 2 Komplett andere Dinge.
Beim Hash verfahren würd ich sha256 empfehlen plus Salt.

Das öftere Anwenden eines Hash verfahren bring nicht wirklich mehr Sicherheit. Ob jetzt ein Hash oder 10 oder 1000 drauf folgende zurück verfolgt werden macht keinen Zeit unterschied aus. Die Hash sind oft in Datenbanken bereits gelistet und können so in Sekunden ausgewertet werden.

Allerdings macht sich das Zeitlich bei der Erstellung des Hash bemerkbar. (Im Grunde also nur ein Nachteil für den Seitenbetreiber den Sicherheit bring es keine spur mehr)

Mfg Splasch

Zitat von crAzywuLf

REQUEST_METHOD ist ein total gängige Variante um zu prüfen ob die Datei im per POST aufgerufen wurde, ich weiss nicht was du hast? wüsste nicht, dass es da einen wirklichen Vorteil bei isset() gäbe oder irre ich mich da?

Schonmal was von Sauberkeit gehört?
Es gibt immer einen sauberen und mindestens einen unsauberen Weg.
Wenn ich prüfen will ob der Inhalt eines Strings "bla" ist kann ich auch jeden Buchstaben einzeln checken statt dem String als ganzen, wäre genau so richtig, aber unnötig umständlich und unsauber.

Zitat von Bandit

Da hast du es noch sicherer:

PHP

<?php
     function buildPasswordString($passwort)
     {
        $count = strlen($passwort);

        $s = "";

        for($i=0; $i < $count; $i++)
        {
           $s .= md5(ord($passwort{$i}));
        }
        $result = md5($s);

        return $result;
     }

     echo buildPasswordString("Bandit");
?>

Alles anzeigen

Ein statischer Salt ist witzlos, jeder der den algoritmus kennt kann ihn zurückberechnen.

Genauso wie das mehrmalige anwenden des Hash auf ein und den selben Wert. Frist nur unötig performenc.
Im bandit script ist das abhängig von der länge des Passwortes.

Hat es 7 Zeichen wird 8 mal das Hash verfahren angewendet.
Hat es 5 Zeichen wird 6 mal das Hash verfahren angewendet.

Und soweiter...

Zitat

Ein statischer Salt ist witzlos, jeder der den algoritmus kennt kann ihn zurückberechnen.

Das als Salt zu bezeichnen ist schon weit hergeholt. Den es werden ja nur die einzelen Zeichen in Acii Code umgewandelt und mit einem md5 Hash versehen.

Diese wiederholte hash bringen nicht wirklich mehr Sicherheit!
Pw = haus
Neuer wiederholter hash = md5(h).md5(a).md5(u).md5(s)
Das ganze wird dann nochmal mit dem md5 hash versehn.
(Wiederholungen bringen keine spur an mehr Sicherheit!)

Bringt also überhaupt nix an mehr Sicherheit jeden einzelnes Zeichen extra zu hashen und dann zusammenhängen.
Ob dabei nun der Acii Code oder das Zeichen drin steht ist im Grunde egal kommt auf selbe raus.

Ein Gutes Beispiel dafür, sieht man oft bei base64_decode() und base64_encode() mehrmaliges anwenden kann den Quelltext nicht besser schützen.

Besser were es da sich einen Algorthmus einfallen zu lassen und damit einen Dynamsichen Salt zu generieren.

Zu ord() sollte ihr mal diesen Beitrag anschauen:
http://www.psd-tutorials.de/forum/45_php-u…ichen-wert.html

Wenn das Stimmt würde es bedeuten das du mit dem Umwandeln auf Acii bei Umlauten die Sicherheit noch weiter heruntersetzen würdest. Statt zu verbessern!
Mfg Splasch

wie wärs hiermit?

<?php


if ($_POST['email']) {




$verbindung = mysql_connect("host","username","passwort") OR ("keine verbindung möglich");
$email = stripslashes($_POST['email']);
$email = strip_tags($email);
$email = mysql_real_escape_string($email);
$password = ereg_replace("[^A-Za-z0-9]", "", $_POST['password']);
$password = md5($password);




$sql = mysql_query("SELECT * FROM members WHERE email='$email' AND password='$password' AND emailactivated='1'"); 
$login_check = mysql_num_rows($sql);
if($login_check > 0){ 
    while($row = mysql_fetch_array($sql)){ 

        $id = $row['id'];   
        session_register('id'); 
        $_SESSION['id'] = $id;

	    $username = $row['username'];   
        session_register('username'); 
        $_SESSION['username'] = $username;

        mysql_query("UPDATE members SET lastlogin=now() WHERE id='$id'"); 

		header("location: member_profile.php?id=$id"); 
		exit();
    } 
} else {




  print '<br /><br /><font color="#FF0000">No match in our records, try again </font><br />
<br /><a href="login.php">Click here</a> to go back to the login page.';
  exit();
}




?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Login to your profile</title>
<script type="text/javascript">
<!-- Form Validation -->
function validate_form ( ) { 
valid = true; 
if ( document.logform.email.value == "" ) { 
alert ( "Please enter your User Name" ); 
valid = false;
}
if ( document.logform.pass.value == "" ) { 
alert ( "Please enter your password" ); 
valid = false;
}
return valid;
}
<!-- Form Validation -->
</script>
</head>
<body>
     <div align="center">
       <h3><br />
         <br />
       Log in to your account here<br />  
       <br />
       </h3>
     </div>
     <table align="center" cellpadding="5">
      <form action="login.php" method="post" enctype="multipart/form-data" name="logform" id="logform" onsubmit="return validate_form ( );">
        <tr>
          <td class="style7"><div align="right">Email Address:</div></td>
          <td><input name="email" type="text" id="email" size="30" maxlength="64" /></td>
        </tr>  
        <tr>
          <td class="style7"><div align="right">Password:</div></td>
          <td><input name="password" type="password" id="password" size="30" maxlength="24" /></td>
        </tr>
        <tr>
          <td>&nbsp;</td>
          <td><input name="Submit" type="submit" value="Login" /></td>
        </tr>
      </form>
    </table>
</body>
</html>