Beiträge von splasch

Versuch mal mit PDO deine Methode ist schon veraltet!

Mfg Splasch

Zitat

Ich habe ein Problem und zwar hat ein Kollege von mir was schönes erstellt, jedoch hat er den Link verschlüsselt.
Und manche sagten ich muss das mit 3 "Sprachen" decoden, Base64 -> Rot13 -> URL.

Das Problem an der Sache ist das du erst mal raufinden muss in welcher Reihenfolge und wie oft diese Zeichenkette codiert wurde.
Wenn man das Script (Quelltext) zur codierung hat ist es ein leichtes dafür ein decodier Script zu schreiben.
Ist das allerdings nicht der Fall muss man Raten und herumprobieren bist man die richtige Reihenfolge und auch die Art des decodieren erraten hat.

rot13 macht nicht anderes als die Zeichen um 13 stellen zu verschieben.
Siehe hierzu:
http://de.wikipedia.org/wiki/ROT13
http://php.net/manual/de/function.str-rot13.php

Für Base64
Siehe hier:
http://php.net/manual/de/function.base64-decode.php

Zu URL
URL ist die Adresse im Web keine mir bekante verschleierungs Methode.

Ohne Quellcode von deinen Freund zur Verschlüsselung ist es nur ein herum Raten!

Mfg Splach

Da kommst nun wirklich auf die Code Menge an welchen Lösung weg man dann eben einschlägt.
Naja die 2 Minuten schätzung halt ich doch etwas als sehr Knapp bemessen. In 120 Sekunden kann man nicht wirklich viel Schreiben.

Selbst das Posten im Forum kann unter umständen schon mal soviel Zeit in anspruch nehmen.

Wenn du dich für eine Datei entscheidet sollte sie Strukturiert sein. fopen würd ich allerdings nicht verwenden da gibst bessere möglichkeiten.
Soweit ich dich Verstanden hab willst du einen Ticket Code haben und keine Password abfrage beinhalten nähmlich auch immer den Benutzernamen.

Die einfachste möglichkeit was strukturieren in einer Datei ist die Verwendung eines Array.

zb.

<?
return array
(
  '123','555',
  '777','155',
);
 ?>

Hier ein Beispiel wie du im Array suchen kannst

<?
$eingabe = '111'                          // Test Wert vom Formulat
$ticket  = include_once('dateiname.php');


foreach ($ticket as $code)
{
  if ($code == $eingabe)
  {
    echo "Zugriff erlaubt";
  }
} 
echo "Zugriff fehlgeschlagen";

Genauso kannst du auch beim eimaliger gültigkeit des Ticket vorgehen.
Dazu brauchst du nur den Teil oben ergänzen mit dem Löschen des Ticket im Array und anschließend wieder in die Datei zurück schreiben.
Siehe dazu file_put_contents
http://www.php.net/manual/de/function.file-put-contents.php

Siehe auch var_export das wandelt dir das Array in ein geschrieben String um als Array
http://at.php.net/manual/de/function.var-export.php

Zum Löschen von Werten im Array siehe hier:
http://www.rither.de/a/informatik/p…rray-entfernen/

Wie du nun sehen kann hat selbst dieser Forum Post schon mehr als 2 Minuten in Anspruch genohmen.

Mfg Splasch

Bitte lern mal den Unterschied was eine Statische Webseite ist und was eine Dynamische ist. Was du da macht ist eine Dynamische Webseite.
Nur weil du keine Datenbank verwendet beudeted das nicht das es Statisch ist!

Siehe hier: http://de.wikipedia.org/wiki/Webseite

Zitat von manuelom0

INFO
Konnte keine Verbindung zu Datenbank aufbauen, MySQL meldete: Access denied for user 'ben'@'localhost' (using password: YES)

Dumheit tut schon weh oder?

Die Zugangsdaten zu deiner Datenbank musst du selbst eintragen. Nur Downloaden und ausfürhen ist zu wenig.
Auch nicht vergessen die Tabellen anzulegen.

Mfg Splasch

Hmm Interessante Aufträge. Erklär das doch mal für jeden ist doch was anderes Interressant.
Macht ja wenig sin dir was zu Anbieten und dann sagt du das ist aber nicht interressant für dich.

Am besten solltes die Themen ein wenig eingrenzen die wirklich für dich Interressant sind.
So macht es wenig sin dir irgendwelche Projekte zu schicken.

Zitat von Redcoke

Hallo,
Nun bin ich aber ins Grübeln gekommen.

Wie würde für ein Community Projekt ein Sicherer Loginbereich aussehen? Ist MD5 wirklich so eine "sichere" Methode ( bin der Meinung gegenteiliges mal gelesen zu haben )
Und zum Quote oben, habe mal nach Tutorials gesucht und das beste&übersichtlichste war das von Quake net, die Restlichen waren weniger "sicher"

Vielen Dank für deine netten Bemühungen!

Md5 ist schon lang veraltet und sollte eigentlich nicht mehr verwendet werden viele tun aber trozdem noch. Besser du verwendest sha256 plus einen Salt.
Weiters reicht es nicht nur einen Sicheren Login zu haben wenn das Script überall sonst unsicher ist. Wenn dann muss alles Sicher sein das gesamt packet. Den warum mit dem Login herumschlagen wenn man direkt rein kann oder andere schwachstellen ausnutzen kann.

Tutorials sind im allgemeinen alle nicht sicher sie sollen dir nur zeigen wie man was in php umsetzen kann. Zum Thema Sicherheit beschäftigen sich ganze Webseiten aber die setzen auch voraus das man die Programmiersprache beherscht.

Das Projekt ist ohne Kenntnisse bzw auf deinen Stand nicht wirklich realisierbar da kommt nur Kaos raus.

Mfg Splasch

Du musst den dabei liegenden Sql Dump einspielen und auch die Zugangsdaten anpassen.

Mfg Splasch

Soweit ich weiß sind die Tutorials dort fortlaufen auf einander aufbgebaut. Daher wirst du immer nur die neuen Teile finden die anderen musst du aus den vorgehenden Tutorials entnehmen. Auserdem sind diese Tutorials dort auch schon veraltet und nutzen noch die alten Php Befehle.

Ich hab das mal vor Jahren ergänzt sie den Anhang hier das sollte vollständig sein.

Siehste auch gleich an der Gesamt größe deines 2.5kb diese ca 7.9 kb also 3 mal so groß.
(Weil bei dir eben alle Teile des vorgehenden Tutorials fehlen.)

Mfg Splasch

Ps:
Das kommt davon wenn man nur Downloadet und es verwenden will ohne das Tutorial durchgearbeitet zu haben!

Ja das ist ein Fehler am besten korregierst du ihn.

Mfg Splasch

Soweit ich ja verstanden hab handelt es sich hierbei ja nicht um einen Wirklicken Job. Denn ist gibt ja dabei keine Bezahlung. Es werden also nur Kostenlose helfer gesucht die später das von der Steuer abschreiben lassen können.

Siehe hier:
http://forum.php-einfach.de/thread.php?threadid=9192

Im Grunde ist das ganz einfach

Mfg Splasch

Genauso wie das mehrmalige anwenden des Hash auf ein und den selben Wert. Frist nur unötig performenc.
Im bandit script ist das abhängig von der länge des Passwortes.

Hat es 7 Zeichen wird 8 mal das Hash verfahren angewendet.
Hat es 5 Zeichen wird 6 mal das Hash verfahren angewendet.

Und soweiter...

Zitat

Ein statischer Salt ist witzlos, jeder der den algoritmus kennt kann ihn zurückberechnen.

Das als Salt zu bezeichnen ist schon weit hergeholt. Den es werden ja nur die einzelen Zeichen in Acii Code umgewandelt und mit einem md5 Hash versehen.

Diese wiederholte hash bringen nicht wirklich mehr Sicherheit!
Pw = haus
Neuer wiederholter hash = md5(h).md5(a).md5(u).md5(s)
Das ganze wird dann nochmal mit dem md5 hash versehn.
(Wiederholungen bringen keine spur an mehr Sicherheit!)

Bringt also überhaupt nix an mehr Sicherheit jeden einzelnes Zeichen extra zu hashen und dann zusammenhängen.
Ob dabei nun der Acii Code oder das Zeichen drin steht ist im Grunde egal kommt auf selbe raus.

Ein Gutes Beispiel dafür, sieht man oft bei base64_decode() und base64_encode() mehrmaliges anwenden kann den Quelltext nicht besser schützen.

Besser were es da sich einen Algorthmus einfallen zu lassen und damit einen Dynamsichen Salt zu generieren.

Zu ord() sollte ihr mal diesen Beitrag anschauen:
http://www.psd-tutorials.de/forum/45_php-u…ichen-wert.html

Wenn das Stimmt würde es bedeuten das du mit dem Umwandeln auf Acii bei Umlauten die Sicherheit noch weiter heruntersetzen würdest. Statt zu verbessern!
Mfg Splasch

Schau dir die Tutorials dazu an unter: http://gameseal.net/tutorials
Dort werden solche Technicken vorgecodet und erklärt.

Mfg Splasch

Ich würd dir ja den http://www.freerichtexteditor.com empfehlen nur den gibst anscheinend nicht mehr dort zum Download.
Statt dessen findet man nur noch nee link liste.

Siehe auch http://drupal.org/project/freerte

Mfg Splasch

Zunächst mal sollte man zwischen einen Hash und Verschlüsseln unterscheiden. Das sind 2 Komplett andere Dinge.
Beim Hash verfahren würd ich sha256 empfehlen plus Salt.

Das öftere Anwenden eines Hash verfahren bring nicht wirklich mehr Sicherheit. Ob jetzt ein Hash oder 10 oder 1000 drauf folgende zurück verfolgt werden macht keinen Zeit unterschied aus. Die Hash sind oft in Datenbanken bereits gelistet und können so in Sekunden ausgewertet werden.

Allerdings macht sich das Zeitlich bei der Erstellung des Hash bemerkbar. (Im Grunde also nur ein Nachteil für den Seitenbetreiber den Sicherheit bring es keine spur mehr)

Mfg Splasch

Bei mir erscheint übrings auf deiner Adresse die Meldung: The server is temporarily unable to service your request due to maintenance
downtime or capacity problems. Please try again later.

Was wir bisher rausgefunden haben das du ein Opensource Script installiert hast auf dem Server. Ich geh mal davon aus das es sich dabei um eine ganz alte Version von 2009 handelt.

Was du nun mal tun kannst ist am Server alles löschen und die neue Version von PHP Fusion zu installieren.
Download findet man auf der Hersteller Seite unter: http://www.php-fusion.co.uk/downloads.php
(Aktuelle Version 7.02.04)

Danach sollte mal das Grund Script wieder laufen. Wenn du ein induelles Design hattes muss man es wieder auf die neue Version anpassen.

Sollte es Probleme bei der Installation der neuen Version geben bin ich gern bereit für dich das zu installieren.
(Allerdings werden dann die Server Zugangsdaten benötigt)

Mfg Splasch

Wenn die Werte vom Script nicht abgefragt werden, würden sowie so keine Get werte funktionieren. Von daher ist diese Prüfung sinlos.
Macht eben einen Unterschied ob man die Werte mit $_GET[] holt oder eben mit $_POST[]

Siehe hier mal ein gutes anfänger Login Tutorial:
http://staticfloat.com/2011/03/01/log…benutzerkonten/

Mfg Splasch

Um welche Seite geht es den. Und was soll überhaupt gemacht werden?

Mfg Splasch

Zitat

Ich habe ein PHP Modul welches nicht so funktioniert, wie ich das möchte. Habe aber ein weiteres welches einwandfrei funktioniert.

Verwend dann eben das weitere Modul das einwandfrei funktioniert. Damit ist nun das Problem gelöst.