nicht angemeldet
echo / include / redirect
0 0 Doppelposting und Namen
echo / include / redirect
Hallo zusammen!
Habe ein kleines Problem!! Wie bekommen ich es mit dem skript unter hin, dass statt der ausgabe:
$_SESSION['username'] = $username;
echo "<b>Ihr Login war erfolgreich. Sie können nun <a href="$userdata[2]">hier</a> Ihren Account erreichen.</b>";
$log = 1;
direkt auf $userdata[2] umgeleitet wird???
Habe ein wenig mit echo redirect experimentiert - hau aber (offensichtlich) immer wieder fehler rein!?
<?php
session_start();
$username = $_POST["username"];
$passwort = $_POST["password"];
$passwort = md5($passwort);
$log=0;
$userdatei = fopen ("user.txt","r");
while (!feof($userdatei))
{
$zeile = fgets($userdatei,500);
$userdata = explode("|", $zeile);
if ($userdata[0]==$username and $passwort==trim($userdata[1]))
{
$_SESSION['username'] = $username;
echo "<b>Ihr Login war erfolgreich. Sie können nun <a href="$userdata[2]">hier</a> Ihren Account erreichen.</b>";
$log = 1;
}
}
fclose($userdatei);
if ($log==0)
{
echo "<b>Falsche Logindaten!</b><br><br><a href="index.html">Erneut versuchen</a>";
}
?>
Any ideas??
Thxalot!
-
Grüße,
so mitten im text nur mittels JS
(location.href="example.com") - sonst aber über die php-funktion header("Location: ".$data) die aber VOR der html ausgabe stehen muss.MFG
bleicher-
P.S:das ganze vorhaben scheint mir so sicher wie MSIE in den händen eines teenagers.
MFG
bleicher-
P.S:das ganze vorhaben scheint mir so sicher wie MSIE in den händen eines teenagers.
MFG
bleicherokay!?
etwas genauer??
was ist denn deiner meinung nach "unsicher" bei dieser abfrage / diesem "schutz"??
gruß! stefan
-
Grüße,
was ist denn deiner meinung nach "unsicher" bei dieser abfrage / diesem "schutz"??
ich antworte mal hier - das unsichere, ist dass du die daten aus einer txt-datei holst.
es ist nciht os, dass niemand zugriff dazu erlangen könnte. außer du speicherst die daten in einem geschützten verzeichniss und/oder speichers md5 oder änliche checksumes der passwörter - in welchem falle selbst das erlangen der schlüsseldatei nicht so kritisch wäre.zudem ist es performancemäßig ein disaster, wenn man es mit dutzeden users macht.
bei paar wenigen reicht aber widerum .htacess -schutz
MFG
bleicher-
Grüße,
was ist denn deiner meinung nach "unsicher" bei dieser abfrage / diesem "schutz"??
ich antworte mal hier - das unsichere, ist dass du die daten aus einer txt-datei holst.
es ist nciht os, dass niemand zugriff dazu erlangen könnte. außer du speicherst die daten in einem geschützten verzeichniss und/oder speichers md5 oder änliche checksumes der passwörter - in welchem falle selbst das erlangen der schlüsseldatei nicht so kritisch wäre.zudem ist es performancemäßig ein disaster, wenn man es mit dutzeden users macht.
bei paar wenigen reicht aber widerum .htacess -schutz
MFG
bleicherhi bleicher..
also den namen der txt habe ich mittlerweile in ein md5 hash ( und natürlich nicht den von "user") umgewandelt, sodass man nicht so leicht auf den namen kommt.
die txt liegt zusätzlich in einem extra verzeichnis welches ich mittels .htaccess gesperrt habe..
zumal sind die passwörter in der txt auch als md5 hash summe gespeichert..
das wäre doch dann ausreichend, oder??
gruß, stefan
-
es ist nciht os, dass niemand zugriff dazu erlangen könnte. außer du speicherst die daten in einem geschützten verzeichniss und/oder speichers md5 oder änliche checksumes der passwörter - in welchem falle selbst das erlangen der schlüsseldatei nicht so kritisch wäre.
zudem ist es performancemäßig ein disaster, wenn man es mit dutzeden users macht.bei paar wenigen reicht aber widerum .htacess -schutz
MFG
bleicherDer in seinem anderen Thread gepostete Code liess keine Rückschlüsse auf Mängel zu.
md5 wird verwendet.Bemängeln würde ich das Format seinen testfiles, indem er '|' als Datensatztrennzeichen verwendet, ohne dass die Nebenfolgen ('z.B. ein username enthält '|') behandelt werden.
Hier wäre ein anderes Datenformat angesagt.
z.B.
<username> </username><password> </password>Auf jeden Fall ist es immer Ratsam, nicht nur Werte abzuspeichern, sondern Parameter Name und Wert zusammen abzuspeichern. Das macht solche Datenfiles viel besser aktualisierbar und erweiterbar.
Das Textfile kann/soll natürlich ausserhalb von http root abgelegt werden.
Was ich noch einbauen würde, wäre im Falle eines falschen Passwortes ein sleep(5) (das ist jetzt perlisch). was schon mal Wörterbuch-Atacken ausbremsen kann.
mfg Beat
-
-
-
-
Grüße,
so mitten im text nur mittels JS
(location.href="example.com") - sonst aber über die php-funktion header("Location: ".$data) die aber VOR der html ausgabe stehen muss.MFG
bleicherdanke!
-
-
Du wechselst wohl auch alle halbe Stunde deinen Namen.
Könntest auch in deinem Thread bleiben.mfg Beat
--
/|
<°)))o>< / | /|
---- _|___/ | ><o(((°>
OvVVvO __ | ><o(((°>
<°)))o>< /v v\/ |
<°)))o>< ^ ^/_/_ ><o(((°>
^^^^/___/
><o(((°> ---- ><o(((°>
<°)))o>< ><o(((°>o
-
Du wechselst wohl auch alle halbe Stunde deinen Namen.
Könntest auch in deinem Thread bleiben.mfg Beat
hi beat,
danke für die konstruktive kritik!
wollte niemanden verärgern und entschldige mich für den "falschen" namen, der in der eifer des gefechts falsch ausgewählt worden war. (hatte vorhin ein paar testaccounts angelegt - daher waren mehrere namen zur auswahl - sorry therefor!!)
den thread habe ich allerdings gewechselt, da sich die problemstellung verändert hat!?
ist das jetzt falsch gewesen!?
grüße, stefan
-
Hallo,
den thread habe ich allerdings gewechselt, da sich die problemstellung verändert hat!?
die hat sich nicht geändert, es ist nur ein weiterer Aspekt des gleichen Problems. Diesen kannst Du durch eine Antwort auf Deinen Ausgangsbeitrag einbringen. Nutze zusätzlich die Voransicht, um das Thema (und gegebenenfalls den Themenbereich) zu ändern.
ist das jetzt falsch gewesen!?
Ja, siehe Charta: Keine Doppelpostings. Besser bleibt alles zusammen, was zusammengehört.
Freundliche Grüße
Vinzenz
-
-