Logo - MyWebsolution.de
User gesamt  :  1652200
User online  :  2
KubaSeoTräume, PHP Forum, PHP Community and more ... MyWebsolution.de!
   
   
 
Registrieren Login User F.A.Q Suche Home

eingeloggt bleiben

MyWebsolution.de Foren » Anfängerfragen PHP und MYSQL » PHP Loginsystem

Seite: 1 Posts pro Seite: 5 10 20
Autor Thread
18.10.2010 15:33 Uhr PHP Loginsystem
roy15
User
 
registriert 18.10.2010
wohnt in
Beiträge 1
Hallo
ich bin neu hier und habe auch gleich eine frage,

da das alles noch sehr neu für mich ist ( PHP Loginsystem )
habe ich mir >>das Loginsystem<< zum üben und testen genommen,
soweit geht auch alles,
nun meine frage;
ich möchte das auf jeder seite "Willkommen (username)" steht,
wie geht das ? wie muss der code aussehen ? (die seite soll nicht geschützt sein da soll nur dastehen "Willkommen (username)" (wenn eingelogt)

wie gesagt das ist alles noch neu für mich und üben/verstehen, wolle ich das Loginsystem nehmen,

ich sage schon mal danke für user die ein Neuling zeigen wie was geht
Profil ansehen
18.10.2010 17:42 Uhr
Flitze
Administrator
registriert 17.10.2006
wohnt in Eschwege
Beiträge 332
Hey Roy,
der Username ist in der Variablen $_SESSION['Nickname'] gespeichert.
Die könntest also einfach mittels

PHP:
<?
if(isset($_SESSION['Nickname'])){
  echo 
"Willkommen ".$_SESSION['Nickname'];
}
?>


eine entsprechende Ausgabe machen.

Viele Grüße
Pascal

Dieser Beitrag wurde am 18.10.2010 um 17:42:33 Uhr von Flitze zum 1. Mal editiert.


Profil ansehen Mail senden
09.11.2010 19:21 Uhr
Dj_PD
User
 
registriert 20.04.2010
wohnt in
Beiträge 4
Hallo,

ich habe auch nochmal eine Frage bzgl. der Sicherheit. Sie weißen ja extra darauf hin, dass das Script nicht sicher sei und nicht geprüft wurde.
Gibt es den irgendwo ein Tutorial mit einem sicheren Loginsystem oder haben sie irgendwann noch vor ihr Tutorial zu erweitern oder mal auf Sicherheit zu überprüfen und zu aktualisieren? Ich weiß, dass es nie 100%ige Sicherheit geben wird, aber ich würde schon ganz gerne ein sicheres Login für meine Seite haben und ich denke ich stehe da nicht allein. Als Anfänger, wäre da natürlich ein verständliches System bzw. ein verständliches Tutorial zu einem sicheres Loginsystem, was man als Grundlage benutzen kann, sehr interessant. Und ihr Tutrial finde ich schon sehr gut beschrieben.

Ich hatte eigentlich gehofft, dass ich ihr super Tutorial als Grundlage für mein Loginsystem nutzen kann. Ich mein, ich würde sicher mit einem besseren Bauchgefühl lernen und das eigene System erweitern, wenn ich wüßte, dass es eigentlich sicher ist. Allerdings habe ich, jetzt wo ich gelesen habe, dass es unsicher sei, doch ein komisches Bauchgefühl.
Ich würde ja auch ein fertiges Script nutzen, aber das finde ich ehrlich gesagt viel schlimmer. Mit ihrem Tutorial hätte ich eine gute Grundlage, die ich nachvollziehen und auch nachlesen kann und wo ich sogar hier im Forum mal nachfragen kann. Wenn ich mir ein x-beliebiges Script nehme, dann versteh ich es meistens nicht, da ich den Code nicht nachvollziehen kann und die Frage ob ausgerechnet dieses Script sicher ist, würde ich auch erst dann erfahren, wenn meine Seite gehackt wurde.

Ich würde mich also sehr freuen, wenn man das Tutorial "PHP Loginsystem" nochmals auf mögliche Mängel prüft und es weitestgehend sicher machen, so dass dieses Tutorial für alle zumindest eine gute Grundlage darstellt.
Oder aber, sie schreiben mir jetzt einfach, dass das Tutorial in der Regel alle Sicherheitsmaßnahmen berücksichtigt wurden und ihr das nur geschrieben habt, um euch abzusichern :)

Gruss
Dj
Profil ansehen
10.11.2010 13:19 Uhr
Flitze
Administrator
registriert 17.10.2006
wohnt in Eschwege
Beiträge 332
Hey DJ_PD,
das Skript an sich ist schon "sicher" - ich verwende es fast genau so auf meiner Seite. Aber ich lehne mich nicht aus dem Fenster und sage "hey, das ist 100%ig sicher" - und dann wird deine Seite von nem Hacker gehackt und du verklagst mich ;)

Sicherheit ist auch nicht mein Spezialgebiet, aber ich sehe spontan 3 Probleme:
1. Es ist keine https Verbindung - die Anmeldedaten werden also im Klartext übertragen. Sowas ist anfällig für einen Man-in-the-middle Angriff
Allerdings findest du sowas so gut wie nirgends, SSL Zertifikate (die braucht man für eine SSL Verbindung) kosten in der Regel nämlich Geld

2. Es ist keine Bruteforce Kontrolle drin - es ist also möglich, dass ein Bot einfach so lange alle Möglichkeiten probiert, bis er das PW knackt. Man sollte zumindest nach 10 erfolglosen Anfragen oder so eine zeitlich Sperre einbauen.

3. Die Passwort vergessen Funktion und die Anmeldung basieren nicht auf einer eMail Bestätigung. Theoretisch kann man sich also auch mit einer fremden eMail Adresse anmelden ohne diese bestätigen zu müssen.

Eventuell werde ich dsa Tutorial noch erweitern, aber momentan habe ich dazu absolut keine Zeit. Falls du das was zusammenbekommst, darfst du mir aber gern bescheid sagen :) Wenns "gut" ist, kann ich es ja bei mir im Tutorial nachreichen.

Viele Grüße
Flitze

Dieser Beitrag wurde am 10.11.2010 um 13:20:02 Uhr von Flitze zum 1. Mal editiert.


Profil ansehen Mail senden
10.11.2010 16:47 Uhr
Dj_PD
User
 
registriert 20.04.2010
wohnt in
Beiträge 4
Vielen lieben Dank, für deine Antwort.
Erst einmal gut zu Wissen, dass man mit diesem Tutorial was anfangen kann. Und auch gut, dass du es selbst verwendest.

Ich werde in jedem Fall nicht nur einfach das Tutorial kopieren, sondern auch meine Eigenen Überlegungen mit rein bringen. Deinen Punkt 2 hatte ich mir nämlich auch schon überlegt.
Ich hatte auch noch einen Link (auf developers-guide.net) gefunden, wo auch nochmal über Sicherheit geschrieben wurde. Was gibt es, wie schützt man sich.

Ich werde mal schauen, wie ich das mache.
Ich wollte in das Login-Script ein bisschen mehr Ajax einbauen bzw. ich hatte mir eine Anmdelde/User-Bar überlegt, die man in jeder Seite, wo man diese eben benötigt, einbauen kann, d.H. Habe ich eine Seite, die ich nur für Mitglieder anzeigen möchte, füge ich die Bar ein und man kann sich eben oben auf der Seite anmelden und bekommt dann erst den Content zu sehen.

Ich weiß aber noch nicht genau, ob das funktioniert.
Naja, mal abwarten ob ich mich damit nicht doch überfordere.

Trotzdem möchte ich nochmal "Danke" für deine hilfreiche Antwort sagen. Es gibt nicht viele Seiten wo man so nett eine kurze Info bekommt.

Gruss
Dj
Profil ansehen
Seite: 1 no reply
Powered by Pascal Landau © 2006 MyWebsolution.de
Designed by Pascal Landau © 2006 MyWebsolution.de
 
 
 
 
Home Email Impressum Disclaimer Statistik