Macht diese Loginabfrage Sinn ?!

Creere

Mitglied
Hallo,
Ich habe mir vorhin etwas ueberlegt. Ich moechte ein Loginscript ohne Cookies
gestalten und auch keine URL uebergabe verwenden. Jetzt wollte ich fragen ob
es Sinn mach einfach die IP der Users mit einem festen von mir ausgedachten
Wort zu verbinden und dann den md5 Hash als "Session id" zu verwenden und
in die DB einzutragen sobald er eingeloggt ist auf jeder Seite meine Page eine
eine Ueberpruefung, welche den Hash von "IP+Zauberwort" in der Datenbank
sucht und wenn er gefunden wird somit der User Identifiziert wird ansonsten
kommt eine Ausgabe "Bitte erst einloggen oder registrieren Bla...!#$@"

Klingt das vernuenftig oder sollte ich das anderst regeln der Vorteil ist das
ich keine Cookies setzen muss und das script sicher ueberall funktioniert.

Danke im Voraus ! ;)
 
Hallo,

im Zeitalter von dynamischen IP-Adressen ist das m.E. keine gute Idee - das kann man machen wenn jeder eine eigene IP-Adresse hätte - dem ist aber nicht so.

Warum machst du denn keine Passwortabfrage über .htaccess (das kann man übrigends auch per PHP steuern)?

Edit: Zur Erklärung - auch wenn du es mit einem "Zauberwort" und md5 verschlüsselst kommt doch bei der gleichen IP-Adresse auch immer der gleiche Schlüssel raus - faktisch könntest du auch nur die IP speichern - beides ist gleich (un)sicher nur das eine macht mehr Arbeit ;)

Edit2: Ich selbst programmiere gerade ein Script welches mir mein User welche ich in einer Excelfile (ca. 2500 User) in eine .htpasswd überträgt.
Mit PHP kann man dann auch den Usernamen mit $PHP_AUTH_USER auslesen und dann z.b. andere Infos noch aus einer DB ziehen - es muss nicht immer komplett in PHP und MySQL sein :-) ;)
 
Zuletzt bearbeitet:
Hm... IPs werden bei jeder Einwahl ins Netz, durch den Hoster neu Vergeben. Kannst also Knicken...

Ich würde einfach den User mit seinen Daten in die Datenbank schreiben und ihn z.b. über seinen Loginname oder seine ID in der Datenbank identifizieren. Das Passwort sollte allerdings als MD5 in die Datenbank kommen... ;)
 
Nunja gleich (un) sicher ist es natuerlich nicht wenn jamenad weiss,
das is der Hash der Ip ist weiss er bei meiner Version dennoch nicht
das zugehoerige Wort ;)..

Aber wichtiger ja der Login an sich moeglichst mit 2 Abfragen. Das
mit den Dynamischen IP Adressen stimmt aber ich finde diese
Variante in dem Fall gut da es ein "Diebspiel" ist und es mir nur
schadet wenn der User sich mit IP Changes bereichert.

Gibt es noch eine Zweite moeglichkeit bzw Variable die ich zur ein-
deutigen identifikation benutzen kann sodass es egal ist wenn es
auch mal eine Ip 2 mal gibt? Vllt kann ich da ja session_id(); benutzen
da diese ja immer gleich ist wenn es das selbe Browser fenster ist.
 
Ok du hast recht aber die User sollen auch nicht laenger als 24 Stunden eingelogged sein denn sonst muss ich sowieso wieder Cookies verwenden und wenn nicht fast auf keiner seite ist so ein langer login standart/noetig aber danke!
 
Also nochmal... was möchtest du genau? Den User EINDEUTIG Identifizieren? Wenn Ja... musst du einen eindeutigen Wert in Datenbank schreiben. ;)
PHP:
  ("SELECT login FROM tabelle WHERE login = '".$_Post['login']."'")

Die Session kannst du ja auf eine bestimmte Zeit begrenzen. Liegt in deinem Ermessen
 
Zuletzt bearbeitet:
Hallo,

also du meinst das fest ausgedachte Wort muss der User eingeben um sich einzuloggen.
Es ist aber trotzdem unsicher.
Ausserdem kann der User nicht verhindern das er eine neue IP-Adresse bekommt, da er ja mit jeder Einwahl eine neue bekommt - eben dynamisch!
 
Wenn ich das richtig verstehe, geht es hier nicht um einen einfachen Login, sondern um eine Autologin funktion (korrigiert mich, wenn ich falsch liege).
Nun, wenn dem so ist, dann würd ich mich erstmal fragen, mit was sich ein Benutzer authentifizieren kann. Es müssen statische, immer gleich bleibende Werte sein.
Die IP ist schonmal nicht gleichbleibend.
Was bleibt da noch? Damit ein User sich irgendwo einloggen kann, muss er eindeutige Werte an den Server schicken. Da es bei den Standard Usern im Web keine statischen und vor allem sichere einmalige Werte gibt, muss der User halt sich manuell zu erkennen geben, sprich mit Benutzername und Passwort. DIes erfordert natürlich wieder eine Übergabe an eine 2. Seite, bzw, ein Aufruf einer Seite.

Wie du siehst, der Login brauch einmalige und statische Werte, damit er funktioniert. Ohne Cookies (aua) oder eine Seitenübergabe geht in meinen Augen nicht viel.

Gruss
 
Also ihr habt das alle etwas falsch verstanden aber das macht nichts ich will
euch das nochmal erklaeren.

Ein User kann sich bei meiner Seite mit Passwort und Nicknamen einloggen
wenn es den Wert in der Datenbank gibt - sprich der User vorhanden ist soll
er dann einen wert zur Identifikation eintragen hier benutze ich die IP
ich weiss das die sich aendert dann muss er sich eben neu einloggen also
man geht ja nicht alle 5 minuten neu ins internet :).

Und jetz habe ich das so gedacht das ich die IP mit einem Wort verbinde
das Wort ist lang und kennt KEINER. Also zum beispiel "231.234.21.233wasgehtabbbb"
so daraus der md5 Hash also md5(231.234.21.233wasgehtabbbb); Dieser
Hash kommt jetzt bei dem User in die Datenbank. Jetzt kann ich doch einfach
den User identifizieren indem ich immer eine Abfrage auf jeder Seite hab:

PHP:
<?php
$identifikation = "$_SERVER['REMOTE_ADDR']wasgehtabbbb";

$reg1 = "SELECT * FROM users WHERE Session='".md5($identifikation)."'";
$reg2 = mysql_query($reg1);
$regist = mysql_fetch_assoc($reg2);

if(!$regist) {
echo "Bla nicht eingelogged... reg usw..!";
} else {
echo "Heu Reuber!"
}
?>

Also so sollte es wirklich jedem jetzt klar sein! Das mit dem IP change is egal
nach 24 Stunden muss man sich eben wieder neu einloggen. Und wer einen
IP changer hat ist nicht mehr ganz knusper ^^..

Ich hoffe ihr wisst jetzt eine Andwort auf meine Frage ob das hier Sinn macht
als Login danke im Voraus =))
 
Ich hoffe es gibt noch jemand der mir helfen kann! :confused:
Aber mir fällt grad ein bei einem Proxy is die gleiche IP gibts
noch einen zweiten festen Identifikationswert den ich nicht
per IP oder cookie immer weitergeben kann ?
 

Neue Beiträge

Zurück