✔ MD5 generieren
- Themenstarter r3ddragon
- Beginndatum
1.) Methode im <form> vergessen
2.) Je nach Methode die Variablen abfragen... => post/get
3.) $PHP_SELF in <form> so falsch... muß mit php-Tags umgeben sein
Versuchs mal so:
2.) Je nach Methode die Variablen abfragen... => post/get
3.) $PHP_SELF in <form> so falsch... muß mit php-Tags umgeben sein
Versuchs mal so:
Code:
<head>
</head>
<body>
<form action=<?php echo $PHP_SELF ?> method="POST">
Passwort: <input type="password" name="password"><br><br>
<input type="submit" name="register" value="register">
</form>
<?php
if(!empty($_POST['password'])){
$pass = $_POST['password'];
$passwort = md5($pass);
echo $pass. " = " .$passwort;
}
?>
</body>gut danke sieht schon besser aus
wenn ich auf register klicke sagt er Zugriff verweigert!
Adresszeile : http://127.0.0.1/method="POST"?password=Test®ister=register
wenn ich auf register klicke sagt er Zugriff verweigert!
Adresszeile : http://127.0.0.1/method="POST"?password=Test®ister=register
Wenn Du es mit "" schreibst, kannst Du das echo vor $PHP_SELF weglassen...
Also: <form action="<?php $PHP_SELF ?>" method="POST">
Sinac
Erfahrenes Mitglied
Deine PHP Version unterstützt vielleicht $PHP_SELF nicht, daher wird für action nichts eingefügt und es wird das method=POST dahinter eingelesen.
Mach es so:
Greetz...
Sinac
Edit: Scheint sich schon erledingt zu haben
Mach es so:
PHP:
<form action"<?php echo $_SERVER[PHP_SELF] ?>" method="POST">Greetz...
Sinac
Edit: Scheint sich schon erledingt zu haben
Zuletzt bearbeitet:
Radhad
Erfahrenes Mitglied
Für Passwörter sollte man noch einen Offset-Wert in Form einer zufälligen Buchstaben/Zahlen Kombination wählen und die an das PW dranhängen. Warum man das machen sollte? Weil wenn 2 user das gleiche PW haben, sieht man dies anhand des gleichen md5 Hashwertes. So kann man dann verhindern, dass Admins mit zugriff auf die Datenbank erkennen können, wer das gleiche PW hat und somit die Sicherheit für den User erhöhen kann.
Diese Funktion generiert einen 12 Zeichen langen zufälligen Buchstaben/Zahlen String, welcher sich als Offset-Wert gut eignet. Ebenfalls kann man diese Funktion für einen Aktivierungslink benutzen.
Gruß Radhad
Diese Funktion generiert einen 12 Zeichen langen zufälligen Buchstaben/Zahlen String, welcher sich als Offset-Wert gut eignet. Ebenfalls kann man diese Funktion für einen Aktivierungslink benutzen.
PHP:
function randString( $length=12, $charset='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789' )
{
$retVal = '';
$cardinality = strlen($charset);
for( $i=0; $i<$length; $i++ )
{
$retVal .= $charset{mt_rand()%$cardinality};
}
return $retVal;
}Sinac
Erfahrenes Mitglied
Das von RadHad beschriebe Verfahren nennt sich übrigens Salted Hash:
http://de.wikipedia.org/wiki/Salted_Hash
http://de.wikipedia.org/wiki/Salted_Hash
Michael Engel
Erfahrenes Mitglied
Also ich fände das zu kompliziert. Welcher Admin schaut gerne hunderte Benutzer durch sieht aha da haben 2 das gleiche Passwort und freut sich so etwas gefunden zu haben. Und geht vor Freude erst mal nen Kaffee trinken 
Da die Passwörter gehasht sind kann man eh nichts mit ihnen anfangen ohne sie mit Tagelang bis Monatelangem Brute-Force wieder zu knacken. Oder worin siehst du da den großen Sicherheitsvorteil?
Da die Passwörter gehasht sind kann man eh nichts mit ihnen anfangen ohne sie mit Tagelang bis Monatelangem Brute-Force wieder zu knacken. Oder worin siehst du da den großen Sicherheitsvorteil?
Zuletzt bearbeitet:
Radhad
Erfahrenes Mitglied
Ok, stell dir mal vor, der Admin selbst hat das gleiche passwort wie ein User. Also könnte er sich dann als diesen User anmelden und mist bauen, gerade wenn er diesen User nicht leiden kann. Ich finde das schon sehr wichtig. Ich zum Beispiel würde das nicht machen, aber man weiß ja nie, was andere Admins so machen! Deshalb werde ich auf meinen zukünftigen Seiten immer beschreiben, wie Passwörter behandelt werden, damit der User selber Sicherheit hat. Das ist nur fair und ehrlich!
