kostenloser Webspace werbefrei: lima-city


Passwort verschlüsselt an Server versenden

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    r*s

    Guten Tag,

    ich möchte meiner Webseite einen Login-Berreich verschaffen. Dazu würde ich am liebsten Sessions benutzen. Ich habe noch nicht viel mit php gearbeitet und bin noch total unerfahren. Aber meine Überlegung ist ob man irgendwie mithilfe von php (kann auch was anderes sein, aber wenn ich das richtig sehe müsste es darüber funktionieren) zugriffe auf eine Datenbank nur mit einem gültigem Passwort (es gibt aber mehrere) zulassen kann. Dieses Passwort sollte aber nach Möglichkeit verschlüsselt übertragen werden. Leider wird php Serverseitig, ausgeführt. Weiß jemand Rat???


    Beitrag geändert: 23.5.2008 16:15:45 von rms
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. kochmarkus

    Co-Admin Kostenloser Webspace von kochmarkus

    kochmarkus hat kostenlosen Webspace.

    Richtig, PHP wird serverseitig ausgeführt. Aber auch wenn ich keine Ahnung von JavaScript habe, denke ich dass es damit möglich wäre das PW vor dem verschicken md5 verschlüsseln zu lassen.

    Offtopic: Hat dein Nickname was mit Richard M. Stallman zu tun? http://de.wikipedia.org/wiki/Stallman
  4. es ist relativ schwer, einen loginbereich mit php zu programmieren. dazu benötigt man viel php-erfahrung, und mysql ist dazu noch richtig schwer einzubinden.

    meine empfehlung: fertige memberzone nutzen.

    http://memberzone.tomasmueller.co.cc
  5. Autor dieses Themas

    r*s

    OK, danke für die Tipps, ich verwende nun htaccess und bin damit sehr zufrieden.

    Offtopic: nein mein Name hat nichts mit diesem Herrn zu tun, allerdings finde ich das Prinzip des Copylefts ganz gut ;).
  6. a************n

    http://php-einfach.de/tuts_mysql_login.php
    dasist super nehm ich auch ich gebs zu...
    und wenn du es noch ne nummer sicherrer haben willst nehm sha1 satt md5 musst aber dann das passwort feld auf varchar 40 stellen und nicht 32 für sha1 gilt das gleiche wie für md5 ist nur 8 zeichen länger

    mfg andré

    ps:ach und htacces ist auf lima verboten, stans in so einem tutorial hier auf lima.

  7. Da musste einfach md5 vorschreiben.


    Wieso ist htacces verboten?
    Das find ich doof. So sieht doch jeder was im Verzeichnis ist, solange da kein Index ist.


    Beitrag geändert: 28.8.2008 19:04:57 von seth93
  8. warum sollte htacces verboten sein?
    soweit mir bekannt ist sind nur einige funktionen nicht nutzbar da abgeschaltet.

  9. f*************e

    .htaccess ist definitiv nicht Verboten...
  10. e********l


    es ist relativ schwer, einen loginbereich mit php zu programmieren. dazu benötigt man viel php-erfahrung, und mysql ist dazu noch richtig schwer einzubinden.

    Schwer? 5-10 Minuten Arbeit, fertig und sicher.
  11. Hmm na ganz so viel Aufwand ist es mit PHP ja nicht...

    ...da könnte man noch viel mehr machen... z.B. die Passwörter mit Javascript schon auf der Client-Oberfläche mit md5 verschlüsseln und dann übertragen. Hat zwar nur den Effekt dass der Angreifer das PW nicht sehen kann, aber das ist ja auch nicht so wichtig. Wenn du dich gegen ein mitsniffen währen willst hilft da nur eine SSL-Verbindung aufzubauen.

    Außerdem könnte man für jeden Nutzer einen eigenen Datenbanknutzer anlegen und diesen dann für die DB-Zugriffe verwenden. usw.

    Grüßle
  12. Autor dieses Themas

    r*s

    Hmm, ich versuch das jetzt mal über Sessions, wie bekomme ich denn das ohne SSL sicher hin?
  13. t*****b

    Clientseitig wirst du Daten nur verschlüsselt über https (SSL) empfangen und senden können, alles andere, was über http läuft, könnte man theoretisch auslesen.

    Ich verstehe aber dein Problem nicht. Du willst über ein Passwort zugriff auf eine Datenbank. Das Passwort für die DB gibst du ja im PHP-Script an und liest dort auch deine Datensätze aus. Das Passwort für den Benutzer hat überhaupt nichts mit den Zugangsdaten der Datenbank zu tun. Du kannst natürlich per PHP-Script regeln, welcher User welche Daten sehen darf. Oder wo liegt genau dein Problem?
  14. Da es bereits sehr viele MD%-Cracker gibt, würde ich an deiner Stelle den MD5-Wert des MD5-Werts des Passwortes verwenden. Also:


    $pass = md5($_POST['passwort']);
    $passwort = md5($pass);
  15. Ich würde es vorerst mit .htaccess machen. Wenn der Benutzer angemeldet ist kannst du ihn nämlich auch ganz einfach Abfragen:
    $_SERVER['PHP_AUTH_USER']
  16. Vielleicht sollten wir uns alle mal auf eines einigen, so kommt der Ersteller des Threads garnicht mehr mit.;)




    mf

    drafed-map
  17. Es gibt bei Selfhtml.net ein Script, dass die Passwörter vor dem Senden an den Server md5 verschlüsselt.

    http://aktuell.de.selfhtml.org/artikel/javascript/md5/

    Das hasht das nach dem orginal Algorithmus.
    Somit werden keine unverschlüsselten PWs übers Netz verschickt.

    Gruß, Prog
  18. Theoretisch ist es sogar möglich, SSL mit javascript nachzuahmen. So wird das passwort sicher an den server übertragen, ohne dass man ein teures zertifikat bezahlen muss.

    ps3web
  19. Leider sind nur in JS keine Verschlüsslungsfunktionen integriert, und man muss alles selber programmieren, was hierbei sehr sehr viel Arbeit bedeutet.
    Zudem wird vorrausgesetzt, dass der Nutzer JS eingeschaltet hat, und gerade die, die es besonders sicher haben wollen, haben meist JS ausgeschaltet. Somit können sie die "sichere" Variante nicht benutzen, sondern senden ihr PW unverschlüsselt an den Server.

    Gruß, Prog
  20. md5 ist schon sicher.
    Ich benutze das auch und es ist auch recht einfach.
  21. d*****e

    Hi,
    ich möchte mich hier mal einklicken mit einer Frage zur Verschlüsselung. Und zwar wurde hier einmal von dem Befehl "md5()" geredet. Was ist hierbei der Unterschied zum Befehl "crypt()". Dieser beherscht ja auch eine md5-Verschlüsselung.

    Gruß
    DCBlaze
  22. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!