Login-System sicherheit

  • PHP

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Login-System sicherheit

    Hallo ihr da!



    Ich beschäftige mich in letzter Zeit viel im Web mit PHP bin aber noch
    kein Profi. Momentan arbeite ich an einem neuen Projekt, wofür ich ein
    Log-In System für User brauche.



    Das habe ich auch schon angefangen, einfach so wie es mir in den Kopf
    gekommen ist und so weit wie es Möglich ist dies mit meinen
    PHP-Kenntnissen umzusetzen.



    Ich habe mir einfach eine Datenbank angelegt (Username, Passwort) und
    habe ein einfaches Login-Script geschrieben was wie folgt aussieht:
    mysqli-Verbindung, prüfen ob User mit eingegebenen Namen existiert wenn
    ja Passwort auslesen wenn das Passwort stimmt dann war der Log-In
    erfolgreich und Javascript setzt nen Cookie mit dem Username und dem
    verschlüsselten Passwort.



    Ganz simpel
    nun wird auf jeder Seite geprüft ob die Cookies vorhanden sind, wenn ja
    dann wird geprüft ob die Daten in den Cookies stimmen (selbe System wie
    oben) und der User ist eingeloggt.





    Nun wollte ich fragen, wie siehts damit mit der Sicherheit aus? Also
    hacken ect. kann man alles, aber ist das so wie ich es umgesetzt habe
    klug, wenn nein wie kann mans besser machen und was gibt es dort für
    Tipps?


    In letzter Zeit baut echt eine Frage auf der nächsten auf.


    beste Grüße!
    @7rust-dev

  • Wenn du PHPs eingebaute Sessions nutzt, dann weist du ihm nie von Hand eine Session-ID zu, PHP kümmert sich um alles automatisch wenn du session_start() aufrufst. Du arbeitest auch nie direkt mit der Session-ID, die der Session-ID zugeordneteten Daten werden auf dem Server gespeichert (wo genau lässt sich konfigurieren) und automatisch in das Superglobale Array $_SESSION geschrieben wenn du session_start() aufgerufst.

  • Michaelp800 schrieb:

    Zwar nicht themabezogen, hab aber ne Frage an euch PHP-Cracks.
    Kann man PHP so sicher machen wie HTTPS? Oder spielt das in Sache Sicherheit keine Rolle?

    Http(s) steht für Hypertext Transfer Protocol (Secure).
    Php ist eine Skript-Sprache die Serverseitig ausgeführt wird.
    D.h. https kümmert sich nur darum dass Daten die zwischen dem Server und dem Heimcomputer verschlüsselt übermittelt werden so dass Daten nicht gefälscht oder ausgelesen werden können.
    Php bearbeitet die Daten ja nur auf dem Server und ist somit an sich "absolut" sicher - es sei denn der ganze Server ist gehackt worden und jemand kann auf die PHP skripte oder gar dem Speicher des Servers zugreifen.
    Sessions sind auch serverseitig und bedarfen somit keinen weiteren Schutz. Cookies dagegen lassen sich auf dem PC des Nutzers per Editor verändern... darum sollte man dort nur verschlüsselte Daten rein schreiben.
    Du kannst HTTPS und PHP natürlich kombinieren denn das eine hat mit dem anderen nichts zutun.

    Willst du auf diese Drachen und -eier klicken?
    Sie werden sich freuen ;)

  • DragonGamer schrieb:

    Michaelp800 schrieb:

    Zwar nicht themabezogen, hab aber ne Frage an euch PHP-Cracks.
    Kann man PHP so sicher machen wie HTTPS? Oder spielt das in Sache Sicherheit keine Rolle?

    Http(s) steht für Hypertext Transfer Protocol (Secure).
    Php ist eine Skript-Sprache die Serverseitig ausgeführt wird.
    D.h. https kümmert sich nur darum dass Daten die zwischen dem Server und dem Heimcomputer verschlüsselt übermittelt werden so dass Daten nicht gefälscht oder ausgelesen werden können.
    Php bearbeitet die Daten ja nur auf dem Server und ist somit an sich "absolut" sicher - es sei denn der ganze Server ist gehackt worden und jemand kann auf die PHP skripte oder gar dem Speicher des Servers zugreifen.
    Sessions sind auch serverseitig und bedarfen somit keinen weiteren Schutz. Cookies dagegen lassen sich auf dem PC des Nutzers per Editor verändern... darum sollte man dort nur verschlüsselte Daten rein schreiben.
    Du kannst HTTPS und PHP natürlich kombinieren denn das eine hat mit dem anderen nichts zutun.

    Hey, perfekte Antwort. Genau so was wollte ich hören!
    Vielen Dank!! :)

  • Benutzer online 1

    1 Besucher