touch problem:

Saphiriel · 14. April 2006, 14:58

also wenn ich das, was hier gemacht wird richtig verstehe, ist das nicht nur evtl etwas unsicher sondern ganz großer bullshit. zum einen scheint das ja eine userdatenbank zu werden.... erstmal werden da passwörter plain geschrieben... das heisst das man evtl. einfach nur die usernames?.php aufrufen muss um usernamen und passwort zu bekommen... ausserdem wird weder überprüft was als username, noch was als passwort übergeben wird...

mir erschließt sich der sinn des ganzen nicht wirklich und so wie es aussieht ist es sogar ziemlich gefährlich!

Torben Brodt · 14. April 2006, 15:15

ich weiß gar nicht was das werden soll
html tags in einer user datenbank?
leere form tags drumherum?

da ich an das gute im menschen glaube, gehe ich einfach davon aus, dass das nur ein lückenfüller ersatz für "Lorem ipsum dolor sit am...." ist

es ging ja eigentlich nur um das touch problem

den aspekt sicherheit hat Max123 hier schon angesprochen
http://www.easy-coding.de/sicheres-programmieren-t861.html

Saphiriel · 14. April 2006, 15:35

was das im endeffekt werden soll... wie gesagt keine ahnung... aber das sicherheitsrisiko das dahinter steckt... erstmal kann es ein heftiger schaden für die schule werden... und ich hatte einmal das vergnügen mir einen server mit einem deppen zu teilen der genauso drauf war... das kostete mich dann fast 3000 €.

eigentlich ist es einfach nur fragwürdig ob man so nicht den weg frei macht für spam server oder andere arten der feindlichen übernahme

EDIT: und zum thema... das wurde bereits angesprochen... wenn ich nicht selber schon viel mit foren zu tun gehabt hätte... würde ich das wohl so annehmen... allerdings hab ich schon viel mit eigenen foren zu tun gehabt und ich weiß das etwas tausend mal geschieben sein kann... einmal ist die suchfunktion eine funktion die von den meisten wohl kaum genutzt wird... ausserdem ist vielen überhaupt nicht klar was ein sicherheitsrisiko ist und was nicht...

und so wie sich dieses skript darstellt ist es ein sicherheitsrisiko... und ich finde das jeder sich angesprochen fühlen sollte in solchen fälen darauf hinzuweisen das dass was man da gerade gelesen hat... jemanden mit etwas ahnung magenschmerzen bereitet...

denke ich für meinen teil

Donasa · 24. April 2006, 13:26

das war erst mal der Code zum testen obs funkt.
hier der gesamte:

Quellcode

<?php
$username2=$username;
$pass2=$pass;
$username3=md5($username)
$Pfad=md5("Userdaten")
$userfile = '../$Pfad/'.$username3.'.php';
if (touch ($userfile)) {
if(isset($username , $pass))
{
$fp=@fopen("../$Pfad/$username3.php","a");
if($fp)
{
fwrite($fp, "<form>
<input type='hidden' value='$username2'>
<input type='hidden' value='$pass2'>
</form>");
}
@fclose($fp);
}
else {
echo "Tut mir leid Account konnte nicht erstellt werden";
}
} else {
echo "Tut mir leid Account konnte nicht erstellt werden";
}

Alles anzeigen

die ganzen username.php sind per md5 verschlüßßelt und der Ordner in der drinnen ist auch. also so ein sicherheitsrisimo ist das auch net :wink:

natürlich bestreite ich nicht das es net perfekt sicher ist aber ich habe natürlich das password auch per md5 verschlüsselt und ein Php Datei die am start immer includet wird die einen Spezellen Code sucht(auch md 5) der per <input type hidden name="code" value="$code"> weitergeben wird und ne datei die den COde untersucht.(wird immer includet wenn intern)

Torben Brodt · 24. April 2006, 18:47

es geht um die ganze logik...
ist bestimmt nicht sinnvoll, für jeden user ne einzelne php datei zu erstellen..
viel weniger solltest du beutzername und passwort in input feldern speichern

mach dir ein login mit session und speicher die benutzerdaten in einer txt datenbank

hier hast du 2 wikis, auf denen du aufbauen kannst
http://www.coder-wiki.de/HowTos/PHP-Textdatenbank-Login-Tutorial
http://www.coder-wiki.de/HowTos/PHP-Login-Registrierung-Tutorial

touch problem:

Quellcode

Teilen

Tags