Mailinglisten-Archive

[php] Login-Script mit Sessions: Wie =?ISO-8859-1?Q?=FCberpr=FCfe?= ich erfolgreiches Login auf Folgeseiten?

[php] Login-Script mit Sessions: Wie überprüfe ich erfolgreiches Login auf Folgeseiten?

Markus Wolff php_(at)_phpcenter.de
Tue, 03 Sep 2002 17:32:26 +0200

Previous message: [php] Re: [php] Login-Script mit Sessions: Wie ü berprüfe ich erfolgreiches Login auf Folgeseiten?
Next message: [php] Re: [php] Login-Script mit Sessions: Wie Cberprüf e ich erfolgreiches Login auf Folgeseiten?
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Am Tue, 3 Sep 2002 17:00:16 +0200 schrieb "Volker Hartmann"
<volker.hartmann_(at)_virtuatron.de>:

> Hallo,
>
> leider hat auf meine letzte Mail niemand geantwortet. Wahrscheinlich lags
an
> dem ISO verstummelten Subject ;-).
>
> Nochmal mein Problem: Ich versuche gerade ein Session-basiertes
Login-Script
> zu basteln. Anregungen im Netz gibt es dazu ja genug. Allerdings frage ich
> mich wie es mit der Sicherheit aussieht, wenn man z.B. Usernamen und
Passwort
> in der Session registriert und bei jedem Aufruf einer Seite überprüft.
> Was ich mir überlegt habe steht in meiner letzten Mail. Allerdings bin ich
> damit nicht wirklich glücklich.
>
> Hat jemand Anregungen für mich?

Moin Volker,

schau mal hier drauf:
http://projects.21st-hq.de/liveuser/

Unter "Old class sources" findest Du eine Klasse namens
"LoginManager.php" - die speichert Benutzerobjekte (die unter anderem
Username und Paßwort enthalten) in der Session und liest sie auf
Folgeseiten wieder aus. Evtl. hilft Dir das ja weiter.

Ich habe Deine vorherige Mail nicht gelesen - was meinst Du genau
bezüglich der Sicherheit? Userdaten in der Session zu speichern ist
prinzipiell unkritisch, da die Sessiondaten ja die Platte des Webservers
nicht verlassen (sofern man sie nicht an den Browser ausgibt).
Auf jeden Fall sollten solche Sachen nicht in irgendwelchen Cookies
gespeichert werden und Paßwörter, die in der Datenbank oder sonstwo
gespeichert sind, müssen grundsätzlich verschlüsselt werden (z.B. ganz
einfache Einweg-Verschlüsselung per MD5).

Damit Passwörter nicht per Packetsniffer von irgendwelchen Schelmen
bei der Eingabe in´s HTML-Formular abgefangen werden, sollten
Login-Formulare nur per SSL zugänglich gemacht werden.

Das sind schon mal so die Basics.

Gruß,
 Markus

--
*21st Media*    | Consulting, Konzeption, Produktion für die Bereiche:
Markus Wolff    | Internet, Intranet, eCommerce, Content Management,
Hamburg,Germany | Softwareentwicklung, 3D-Animation, Videostreaming
http://21st.de  | Tel. [+49](0)40/6887949-0, Fax: [+49](0)40/6887949-1

Previous message: [php] Re: [php] Login-Script mit Sessions: Wie ü berprüfe ich erfolgreiches Login auf Folgeseiten?
Next message: [php] Re: [php] Login-Script mit Sessions: Wie Cberprüf e ich erfolgreiches Login auf Folgeseiten?
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive