✔ Login nicht übergehbar

[Nikon the Third]

Hi Leute,

hier mein Problem:

Ein Benutzer muss sich auf meiner Site anmelden. Er gibt Benutzername und Kennwort ein und klickt dann auf Weiter. Er wird dann auf eine andere Site verlinkt. Alle Daten werden (mit md5 Verschlüsselung) per POST übertragen.
Wenn nun aber der benutzer sich etwas in HTML auskennt, kopiert er seine Daten und übergibt sie jedes Mal per GET. Somit kann er die Anmeldung übergehen.
Gibt es eine Möglichkeit, festzustellen, ob sich ein Benutzer angemeldet hat oder ob er sich "eingeschmuggelt" hat?

 

[Mirko D]

Dann musst du das so einstellen das die Daten nur über Post erreichbar sind. Und zudem heisst ein Zauberwort

mysql_escape_string()

Gruß Mirko

 

[SepteraCore]

Benutze zum Abfragen der Variable $_POST["varname"].
Das bewirkt, wie Mirko D. schon angedeutet hat, dass die Variablen nur noch akzeptiert werden, wenn sie per POST versandt wurden.

 

[honeyboy]

Oder mit Sessions arbeiten...

 

[Nikon the Third]

Danke @ Mirko & Seperta

Wie arbeite ich mit Sessions?

 

[honeyboy]

Login-Daten mit POST an ein Script übergeben, dass die Daten prüft und als Session-Variablen registriert.
Lies dir mal folgenden Link durch: http://tut.php-q.net/sessions.html
Sollte eigentlich gut erklärt werden....

 

[Gawayn]

@Nikon: Warum "verschlüsselst" du deine Daten mit MD5? MD5 ist kein Verschlüsselungsalgorithmus, sondern ein Hash-Algorithmus. Es ist doch total wurscht, ob ich als Hacker jetzt das Passwort eines Nutzers abgefangen habe oder den Message Digest! Ich komm dann so oder so in dein System rein! Lass von MD5 die Finger und nimm statt dessen SSL.

@honeyboy:

weil Politiker und Machthaber sie unfreiwillig als Waffen für ihre Pläne missbraucht haben.

Ich glaube, die Politiker und Machthaber haben das sehr wohl mit Absicht gemacht und nicht unfreiwillig...

Gawayn

 

[Nikon the Third]

honeyboy, ich habe nun das mit den Sessions ausprobiert.
Jedoch kommt der Fehler, dass er die Sessiondateien nicht erstellen konnte,
weil session.save_path falsch gesetzt sei.

Ich verwende PHP4, habe aber nur eine php.ini-optimized und php.ini-dist oder so in meinem Verzeichnis.
Ich habe die optimized in php.ini (nicht ini.php) umbenannt und den Eintrag session.save_path auf "/sesssave" umgeändert.
Dann habe ich im php-Verzeichnis einen neuen Ordner "sesssave" gemacht.

Was ist daran so falsch? Bzw auf welches Verzeichnis bezieht sich "/sesssave" ?

 

[dtdesign]

Öhm, kommen Sessions nicht eigentlich ins tmp Verzeichnis oder denk ich gerade um 127424 Ecken? Weil die Lösung von Nikon kann nicht funktionieren und sollte auch nicht benutzt werden. Wenn man da mal die Rechte nicht richtig einstellt kannst du die Passwörter auch gleich im Klartext auf die HP machen

In diesem Sinne
dtdesign

 

[honeyboy]

@honeyboy:

Ich glaube, die Politiker und Machthaber haben das sehr wohl mit Absicht gemacht und nicht unfreiwillig...

Gawayn

Eieieiei...wo hastn das ausgegraben? Hab ich doch schon längst (naja...) aus der sig gelöscht...Ich meinte mit dem unfreiwillig auch nicht die Politiker sondern die Soldaten, die zwar vlt. teilweise, aber nicht durch und durch freiwillig ne Waffe in die Hand genommen haben und bereit waren, sich erschießen, erbomben oder verbrennen zu lassen. Naja, wir kommen OT...