nicht angemeldet
Login Script von PHP RESOURCE
Hallo,
ich habe dieses Login Skript gefunden
http://www.php-resource.de/tutorials/read/33/1/
Habe alles auch so eingstellt bzw. geändert wie es notwendig ist, sprich MySQL Datenbank phpmyadmin und etc.
Nur wenn ich jetzt Benutzername eingebe und danach das Passwort, egal ob es richtig ist oder nicht kommt immer der Kommentar, Sorry Sie haben das falsche Passwort eingegeben.
Was ist denn falsch im Skript? Ihr könnt Euch die Quellcodes direkt von der Seite runterladen (Seite 9)
Vielen Dank für Eure Hilfe
PokerASS
-
Guten Tag,
Was ist denn falsch im Skript? Ihr könnt Euch die Quellcodes direkt von der
Seite runterladen (Seite 9)Die Skripte verwenden automatisch registrierte globale Variablen, z.B. in der md5.php die Variablen $PHP_SELF und $passwort. Unterstützt dein Server diese Einstellung (register_globals)? Außerdem bietet das Skript die praktische Möglichkeit, den Server, auf dem das Skript läuft, als kostenlosen Rechenknecht zum Vorberechnen von MD5-Summen zu verwenden.
In der neu.php ist es möglich, eigenen Code in SQL-Statements einzufügen - auch dort werden automatisch registrierte globale Variablen verwendet.
Danach schaute ich nicht weiter. Du solltest die Skripte auf deinem Server umgehend löschen und nicht irgendwelchen Skripten oder Tutorials aus dem Web trauen.
Gruß
Christoph Jeschke--
Zend Certified Engineer-
Hallo,
erstmal vielen Dank für die Antwort, aber was ich jetzt nicht verstehe:
Die Skripte verwenden automatisch registrierte globale Variablen, z.B. in der md5.php die Variablen $PHP_SELF und $passwort.
Meinst Du damit, dass der Author sofort bescheid weiß, wenn ich seine Skripte mir auf dem Server hochladen und er es jeder Zeit hacken kann?
Unterstützt dein Server diese Einstellung (register_globals)?
Wo kann ich das in phpmyadmin nachschauen, danach hatte ich auch schon gesucht.
Vielen Dank für Deine Mühe
PokerASS-
hi,
Wo kann ich das in phpmyadmin nachschauen, danach hatte ich auch schon gesucht.
Das Zauberwort lautet phpinfo.
Vielleicht interessiert dich auch das Sessionbasierte Loginsystem aus dem SELF-Raum.
mfg
-
Hi,
Vielleicht interessiert dich auch das Sessionbasierte Loginsystem aus dem SELF-Raum.
wie sähe dann der Skript mit einer Datenbank aus, wo die Benutzernamen und Passwörter gespeichert sind?
Gruß
PokerASS-
hi,
wie sähe dann der Skript mit einer Datenbank aus, wo die Benutzernamen und Passwörter gespeichert sind?
Du speicherst User und Passwort in der Datenbank und liest sie bei Gebrauch wieder aus.
Du kannst auch ein array für User mit zugehörigem Passwort anlegen ; da ich nicht weiss, wie Fit du bist, kann ich leider nicht mehr dazu sagen.mfg
-
-
-
Guten Tag,
Die Skripte verwenden automatisch registrierte globale Variablen, z.B. in >> der md5.php die Variablen $PHP_SELF und $passwort.
Meinst Du damit, dass der Author sofort bescheid weiß, wenn ich seine
Skripte mir auf dem Server hochladen und er es jeder Zeit hacken kann?Nein. Es geht darum, dass die Skripte eklatante Sicherheitslücken enthalten und zu aktuellen PHP-Versionen in der Default-Einstellung nicht mehr kompatibel sind. Mißbrauchen kann die Skripte jeder.
Wo kann ich das in phpmyadmin nachschauen, danach hatte ich auch schon
gesucht.phpMyAdmin ist ein Verwaltungstool für das MySQL-DBMS und kein Auskunftswerkzeug für PHP-Konfiguration. nb: Es entbindet auch nicht von der Pflicht, sich mit SQL und dem MySQL-Dialekt zu beschäftigen.
<?php echo 'register_globals sind ', (ini_get('register_globals')) ? 'ak' : 'deak', 'tiviert!'; ?>Du kopierst den obigen Codeschnipsel in eine Datei (z.B. globals.php) und führst die Datei auf deinem Server aus. Da steht dann, ob register_globals aktiviert oder deaktiviert sind.
Gruß
Christoph Jeschke--
Zend Certified Engineer-
Hi,
<?php
echo 'register_globals sind ', (ini_get('register_globals')) ? 'ak' : 'deak', 'tiviert!';
?>register\_globals sind bei mir ausgeschaltet, dass heisst dann wohl, dass ich etwas auf der sicheren seite bin. vielen Dank nochmals. gruß pokerass-
Guten Tag,
register_globals sind bei mir ausgeschaltet, dass heisst dann wohl, dass
ich etwas auf der sicheren seite bin.Nein. Das habe ich nirgends geschrieben. Die Skripte stellen auch bei deaktivierten register_globals eine Sicherheitslücke da. Du, und auch niemand sonst, sollte die Skripte von dort verwenden.
Ansonsten lese ich aus deinen Beiträgen heraus, dass du kein erfahrener (PHP-)Programmierer bist. Du solltest die Installation (und den Betrieb) einem Experten, wie z.B. deinem Hoster, überlassen, denn du wirst nicht beurteilen können, ob eine Applikation - und mag sie so scheinbar einfach sein, wie das hier behandelte Loginskript - sauber, d.h. ohne Sicherheitslücken und logische Fehler, programmiert wurde.
Nochmal:
Lösche diese Skripte umgehend. Sie stellen weiterhin ein Sicherheitsrisiko da!Gruß
Christoph Jeschke--
Zend Certified Engineer
-
-
-
-