kostenloser Webspace werbefrei: lima-city


Website Passwortschutz

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    t*******1

    Hallo Leute,

    ich habe auf meiner Website einen Blog, nun möchte ich eine PHP-Seite schreiben, mit der ich auf diesem Blog schreiben kann. Logischerweise möchte ich, dass nicht jeder auf diese Seite zugreifen kann, weshalb ich sie mit einem Passwort schützen will. Jedoch weiß ich nicht so wirklich, wie ich das sicher bekomme.

    Ist es sicher genug, wenn ich einfach in meine PHP-Datei schreibe
    if ($_POST('passwort') == 'Geheim')

    oder sollte ich da lieber mit password_hash() oder mit crypt() arbeiten. Das Problem, das ich damit gefunden habe ist, dass ich nicht weiß, wie ich das abgleichen soll, da beide Funktionen mit gleichen Parametern immer verschiedene Ergebnisse liefern (??).
    Was ist denn der gängige, sichere Weg, an sowas ranzugehen?

    Danke im Vorraus

    LG tobb10001
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Warum nutzt Du nicht .htaccess für den Passwortschutz?

    https://www.redim.de/wissen/passwortschutz-mit-htaccess-einrichten

    Hat auch den Vorteil, einfach einzubinden und pro User ein eigenständiges Passwort, falsch gewünscht.

    Grüße

    Beitrag zuletzt geändert: 11.1.2017 21:44:19 von karpfen
  4. Algorithmus, Durchgänge und Salt stehen entsprechend im zurückgegebenen String von password_hash(). Deswegen kann man das natürlich auch recht einfach vergleichen. Gibt auch dafür password_verfify()
  5. karpfen schrieb:
    Warum nutzt Du nicht .htaccess für den Passwortschutz?

    https://www.redim.de/wissen/passwortschutz-mit-htaccess-einrichten

    Hat auch den Vorteil, einfach einzubinden und pro User ein eigenständiges Passwort, falsch gewünscht.

    Grüße


    Für einfache Zwecke sicherlich ausreichend, es nur kein explizietes Usermangement so möglich. Man kann per htaccess eben nur vollen Zugriff oder keinen gewähren. Eingeschränkterechte sind mit htaccess nicht möglich.
  6. all-in1 schrieb:
    Für einfache Zwecke sicherlich ausreichend, es nur kein explizietes Usermangement so möglich. Man kann per htaccess eben nur vollen Zugriff oder keinen gewähren. Eingeschränkterechte sind mit htaccess nicht möglich.


    Das ist klar, da hast Du vollkommen recht. Aber so wirkte auch der Eingangspost, Zugriff komplett ja/nein. Und da ist alles besser als die von ihm vorgeschlagene Lösung.

    Für komplexere Zugriffe kann das Wordpress ja selbst schon managen.
  7. Ich hab auf meiner Website ein php-script benutzt (https://www.php-einfach.de/experte/php-codebeispiele/loginscript/), welches die user in eine mysql datenbank schreibt und die passwörter dort auch verschlüsselt speichert. Vielleicht wär das was?
  8. Solange keine Sicherheitslücke in PHP ist (und das wir bei ca. 85% "Marktanteil" relativ schnell bekannt) müsste deine Funktion für deine Ansprüche vollkommen ausreichend sein. Jedoch würde ich erst mit einem regulären Ausdruck prüfen, was dir dein User ins Formular Feld geschrieben hat, damit der dir nicht irgendein Mist reinschmuggelt. Wenn du nicht weißt was reguläre Ausdrücke sind hat https://danielfett.de/de/tutorials/tutorial-regulare-ausdrucke hier ein gutes Tutorial

    viel Spaß beim Umsetzen
  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!