Hi Ihr,

dOnut Du hast mich jetzt auf PHP gebracht!
Nicht das ich das alles laut des Tutorials verstehe, aber das kann ja noch werden!

Erstmal eine generelle Frage:

Wo binde ich jetzt die ganzen php-Dateien ein?
Ich habe ja eine Seite - nennt sich login.htm - wo momentan noch ein Baustellen-Bild ist.
Die Seite hat aber schon alle Buttons und die Grundstruktur der anderen Seiten!

Jetzt möchte ich dort dieses Login einbauen.
Wie gehe ich da vor?

Ich habe jetzt erstmal die php-Dateien auf den Server gepackt und wenn ich den Pfad z.B. zu registrierung.php angebe dann kann ich mich registrieren.

2. Frage
Habe gelesen, dass ich in secure.php das require('login.php'); --> in ein include('login.php'); umwandeln soll???
Wenn ich da ein include mache, dann bekomme ich eine Fehlerseite!

Ich glaube ich bräuchte da nochmal ein paar Tips!

Danke schonmal jetzt :o)

Gruß - mit rauchendem Kopf
pucki

Hört sich insgesamt so an, als hättest du von verschiedenen Sprachen und Strukturen noch nicht genug Ahnung, kann das sein? Denn auch HTML und generelle Informationen zum Webseitenbau müssen bekannt sein. Deshalb die bitte: In wie weit verstehst du, was passiert? Wie weit reicht dein Wissen über HTML und die Arbeit mit Formularen?


Im Grunde hast du da ja schon das richtige gemacht. Einfach die login.php-Datei aus dem Tutorial auf dem Server speichern und die Struktur der alten layout.htm-Datei übernehmen. Dabei musst du natürlich drauf achten, dass du nur das Layout übernimmst, wichtige Attribute der HTML-Elemente und PHP-Schnippsel nicht übersiehst oder vergisst.


Wo hast du das gelesen?

Hallo zusammen,

sitze mal wieder über meinem php-Login!
Habe eine andere Login-Variante gefunden.
Bin jetzt schon etwas weiter, da schon einiges klappt!


Folgenden Code habe ich in meine Login.htm-Datei eingebunden und sie login.php genannt:

Login.php





Zusätzlich habe ich noch eine Datei - #zugang.php:
#zugang.php



Eine weitere Datei (Testdatei) - die nur aufgerufen wird, wenn Benutzername und Paßwort richtig sind ist folgende:

#geheim.inc



Wenn ich jetzt die Login.php aufrufe und Benutzername und Passwort richtig eingebe dann erhalte ich den richtigen Text aus der #geheim.php-Datei.
Soweit so gut!

Jetzt würde ich gerne noch hinbekommen, dass ich die Angaben (Benutzername und Passwort) nicht schon vorgebe, sondern dass der Besucher sich selbst seine Angaben aussucht (registriert). Momentan versuch ich mich daran, bin aber noch nicht wirklich weit!

Letztendlich möchte ich realisieren, dass jeder Besucher sich einloggt und für jeden Besucher eine unterschiedliche Liste bei richtiger Eingabe ausgegeben wird.

Vielleicht habt Ihr ja da noch ein paar Tips für mich?!

Hallo,

bitte den Quellcode in die richtigen Tags packen, das liest sich dann einfach leichter. Wenn du was machen willst mit variablen Daten, dann benötigst du ein Speichermedium. Das Kann eine Datenbank sein oder normale Files.

Dazu musst du dich entscheiden. Was schwieriger ist oder aufwändiger ist, kann man sich streiten. Ich persönlich bevorzuge die Datenbank. Das geht aber schon relativ spezifisch in die Materie und würde da auf etwas Fachliteratur verweisen. Wenn du dir das zutraust, überspring die Basics und schmeiß dich ins Wasser: Fertiges Login-Skript mit PHP und MySQL

Fall das für den Anfang zu schwer ist: PHP - Tutorial Kann ich nur empfehlen, da es an sich nur die relevanten sachen behandelt und das kurz und knapp.

so long
jd

Wenn sich jeder Benutzer mit eigenem Passwort und Username einloggen können soll musst du entweder die Variante, die d0nut oben gepostet hat - wo die Daten in eine Textdatei gespeichtert werden - verwenden oder du benötigst eine Datenbank.
Dazu gibt es diverse tutorials bei [google]Php login mysql[/google], ein sehr ausführliches gibt es hier
Soweit ich das verstanden haben willst du verschiedene Benutzergruppen, die jeweils einen anderen Inhalt bekommen.

Dafür kannst du z.B. in der Datenbank noch eine Spalte 'user_group' anlegen, die z.B. die Werte 1,2 oder 3 hat und je nachdem welcher dem User zugeordnet wurde der Seiteninhalt generiert wird.

Edit: Oh, das war wer schneller;)

Kurz ne Frage zur Sicherheit wegen md5 und so....

Du (d0nut) hast gemeint das md5 nicht mehr sicher wäre, man sollte SHA1 verwenden.

Habe jetzt auch biscshen gegooglet und wenn das Passwort bei md5 nur eine Länge von 4 Zeichen hat und alles kleine Buchstaben sind dann kann der das ja ganz einfach rausfinden Oo.

Wäre es sinnvoll den generierten md5 String in einen SHA1 umzuwandeln? Also doppelte Verschlüsselung! ^^

Schadet nie. md5 ist mittlerweile aber wirklich leicht zu knacken. Doppelte Sicherung schadet bekanntlicher weise nie.

d0nut schrieb:

Den besten Schutz hat man mit Salted Hashes... wenn man also bei jedem Benutzer nochmal einen inviduellen String/Salz dazu packt.
Dann wirken auch keine Rainbowtable Attacken...

Muss man aber für Salted Hashes eine eigene Funktion dafür erstellen?
Und wie läuft das dann - wird der Salted Hash einfach an das Passwort dran gehängt und alles komplett mit md5 verschlüsselt^^?

Ideal ist es, um genau zu sein, einen nutzerspezifischen Salt, der in der Benutzertabelle mitgespeichert wird, sowie einen globalen Salt mit dem Passwort des Benutzers zu kombinieren. Außerdem sollte nicht mit unsicheren Funktionen wie md5 oder sha1 gearbeitet werden, sondern mit (noch) sicheren wie z.B. hash("sha512", $var).

Man kann auch sowohl sha und md5 abspeichern (natürlich mit Salz) und beides überprüfen. Ich denke dort Kollisionen zu finden ist auch nicht eben gemacht, zumal für sowas noch überhaupt keine Lösungsansätze existieren- ist auch nicht soo "speicherfressend", dafür rechenintensiver. Außerdem gehen die nicht-Brute-Force-Verfahren wie Rainbow-Tables auch davon aus, dass die Angreifer den Hashwert kennen, das ist normlerweise ja auch nicht der Fall. Also sollte auch die Datenbank an sich gut geschützt sein vor Angreifern. Was auch oft vergessen wird ist, das auch noch soviel Salz und mehrfaches Hashing nix bringen, wenn die User dusselige Passwörter wählen. Wenn also schon so ein Aufwand getrieben wird mit doppeltem Salz und langen Hashverfahren, sollte man auch Kennwortrichtlinien definieren und deren Einhaltung überwachen, sonst gerät man womöglich unnötig in die Schlagzeilen wie Sarah Palin

Letzendlich ist es eine Frage des Aufwandes (persönlich so wie maschinell), den man betreiben will und wie schützenswert die damit gesicherten Daten sind.

Seba,

der Vorteil von Salts (insb. nutzerspezifischen) ist weniger, dass sie vor dusseligen Passwörtern schützen können, sondern vielmehr, dass ein Hacker dem die Datenbanktabellen vorliegen, nicht aus md5("passwort") ableiten kann, wer alles als sein Passwort "passwort" eingegeben hat. Er wird, den Salts sei dank, für jeden Nutzer individuell zurückrechnen lassen müssen, was für ein Passwort verwendet wird. Der Aufwand, gekoppelt mit starken Verschlüsselungen wie eben z.B. sha512 und global Salts sollte dem Hacker zumindest viel Arbeit machen (und sei's nur Rechenzeit).

Es führt natürlich kein Weg daran vorbei, seine Server entsprechend abzusichern, obgleich angemerkt sei, dass gerade bei Shared Hosting der normale Benutzer keinerlei Einfluss auf die Serversoftware hat (obgleich da die durchschnittliche Qualität im Allgemeinen höher ist als bei so einigen Tröten die ja auch hier im Forum rumgeistern, die ihren "ersten Server" haben...).

Man könnte hier im Wiki mal einen Eintrag zum Thema "sichere Webapplikationen" schreiben, der auch explizit darauf eingeht, welche Basics man zumindest beachten muss, um seinen Server abzusichern.

Danke, ich weiß wofü Salt gut ist. Deswegen sagte ich die meisten Angriffe ( Rainbow-Tables, offline zurückrechnen) funktionieren nur, wenn man davon ausgeht, dass der Angreifer an die Hashes gelangt. Davor und nur davor schützt Salz. Aber wie ebenfalls bereits gesagt, es nützt nix, wenn das Passwort "1234" ist und der Erinnerungssatz "Die ersten vier natürlichen Zahlen"... Da hilft kein Salzbergwerk der Welt. Deswegen Kennwortrichtlinien definieren und durchsetzen und natürlich Server absichern.

Ich spielte bereits mit dem Gedanken...

Hallo,
habe mich mal wieder an dem "tollen" Login versucht.
Habe jetzt das Tutorial von dOnut angesehen.

Problem 1 - login.php

<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<input type="hidden" name="p_submit" value="1" />
<table>
<tr>
<td>Benutzername:</td>
<td><input type="text" name="p_user" value="<?php echo $_POST['p_user']; ?>"/></td>
</tr>
<tr>
<td>Passwort:</td>
<td><input type="password" name="p_password" /></td>
</tr>
<tr>
<td colspan="2">
<input type="submit" value="Login" />

Nachdem ich mich registriert habe (registrierung.php).

registrierung.php

<?php
if($_POST['submit'] == 1) {

$line = $_POST['user'] ."\t". md5($_POST['password'])."\n";
$handle = fopen('db.txt', "a");
fwrite($handle, $line)or die('Fehler beim Schreiben');
fclose($handle);
}
?>

<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<input type="hidden" name="submit" value="1" />
<table>
<tr>
<td>Benutzername:</td>
<td><input type="text" name="user" /></td>
</tr>
<tr>
<td>Passwort:</td>
<td><input type="password" name="password" /></td>
</tr>
<tr>
<td colspan="2">
<input type="submit" value="Registrieren" />
</td>
</tr>
</table>
</form>


<html >
<head>

<title>Unbenannte Seite</title>
</head>

<body bgcolor="#ffffff">
<p></p>
</body>

</html>


Dann bei der login.php sowohl Benutzername als auch Passwort richtig eingegeben habe.
Jetzt erscheint nach Klick auf "Login" die gleiche Seite, nur dass das Passwort nicht mehr dasteht.
Das Formular leitet mich nicht richtig weiter!

Fehler:
Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by ...

Gehe ich über die admin.php

admin.php
<?php require('secure.php'); ?>
TO SECURE

erhalte ich die richtige Seite!


secure.php
<?php session_start(); ?>

<form method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">
<input type="hidden" name="p_submit" value="1" />
<table>
<tr>
<td>Benutzername:</td>
<td><input type="text" name="p_user" value="<?php echo $_POST['p_user']; ?>"/></td>
</tr>
<tr>
<td>Passwort:</td>
<td><input type="password" name="p_password" /></td>
</tr>
<tr>
<td colspan="2">
<input type="submit" value="Login" />
</td>
</tr>
</table>
</form>

Kann mir da jemand weiterhelfen?!
Bin - wie Ihr schon mitbekommen habt - PHP-Anfänger!
Das mit den Sessions ist mir nicht so recht klar!

Werde jetzt ne Runde mit dem Hunde gehen und dann ab ins Bett!

Freue mich schon auf Anregungen, wie ich das besser gestalten kann!
Möchte später auch schaffen, das jeder Benutzer eine andere Seite aufrufen kann - ohne Datenbank!

Gruß pucki

Hi,
ich bin es schon wieder!

Du meinst, dass ich die admin.php aufrufen muss (dOnut), allerdings hat er da dieses Session Problem!
Habe in einem Buch gelesen, das man ein Verzeichnis "tmp" braucht, wo die Sessions abgelegt werden können?!
Kann ich eigentlich auch auf die Sessions verzichten - ich will nur ein einfaches Login, bei dem ich für unterschiedliche Benutzer unterschiedliche Inhalte anzeigen kann!

Bin leider nicht wirklich ein "Held" in php - sorry!

Schau mir noch mal meine Verzeichnisse - da muss irgendwas falsch laufen.
Hab jetzt schon die Dateien (admin.php, registrierung.php, ...) direkt ins root - Verzeichnis "/" reingelegt und auch das Verzeichnis (?) "tmp".

Lieben Gruß
und ein großen Dank, für die Hilfe bis jetzt!