PHP - Einfaches Login Script

SaltonSea

Mitglied
Hi,

ich würde gerne wissen, wie sicher ein einfaches Login-Skript in php ist, was ohne Datenbank und Sessions auskommt.

Also quasi Benutzername und Passwort direkt in der Datei vergeben.

Es geht bei mir um eine Seite, hinter der ich meinen Lebenslauf schützen will.
Deswegen braucht es meines erachtens nicht ganz so aufwendig zu sein.

Wie schnell ist sowas zu knacken, wenn Benutzername und Passwort direkt in der Login.php stehen?

Ist es möglich die Login.php auszulesen, um so an der Passwort zu kommen?


Gruß, SaltonSea
 
Wie einfach ist es zu knacken ?
Ähm ... mit der richtigen URL , also die direkt auf die Ziel-Datei zeigt , sofort. Du brauchst schon mindestens eine Überprüfung in der zu schützenden Datei. Z.B. ob man von der login-Datei kommt oder woanders her ... ob gewisse Parameter vorhanden sind ...
Die Daten in der login.php bringt dir nichts ... weil du ja von dieser aus auf die Ziel-Datei umleiten willst ... also müssen die Zugangsdaten in die Ziel-Datei.
 
Einmal unabhängig davon, wo hingeleitet wird:

Wenn der Server selber in Ordnung ist kann keiner Ben.name und Passwort auslesen
(außer wenn er der Admin des Servers ist (gegen den kann man sowieso nicht viel verstecken)
oder der Angreifer schon root-Rechte am ganzen Server hat.
Dann ist der allerdings nicht mehr "in Ordnung").
 
Also ich hab das bisher so:


PHP:
                  <?php


                  // Benutzername und Passwort definieren

                  $username = "gast";

                  $password = "einloggen";



                  if ($_POST['txtUsername'] != $username || $_POST['txtPassword'] != $password) {



                  ?>


                  <p><img class="rahmenlos2" src="images/passlogin.png"/></p>
                  <h1>Login</h1>
                  <br />


                  <form name="form" method="post" action="<?php echo $_SERVER['PHP_SELF']; ?>">

                      <p><label for="txtUsername">Username:</label>

                      <br /><input type="text" title="Enter your Username" name="txtUsername" /></p>

                      <p><label for="txtpassword">Password:</label>

                      <br /><input type="password" title="Enter your password" name="txtPassword" /></p>

                      <p><input type="submit" name="Submit" value="Login" /></p>


                  </form>

              </li>
            </ul>


<?php



}

else {



?>


<h1>Das ist der geschützte Seiteninhalt<h1>


<?php



}



?>


<?php


Das heißt, wenn die Logindaten stimmen, kommt man an den geschützen Bereich ran, ansonsten nicht.

Und bei php kann man ja eigentlich den Quelltext nicht im Browser einsehen, von daher müßte es ja einigermaßen sicher sein?!
 
Ja, das ist so OK.
Wenn der geschützte Inhalt direkt in der PHP-Datei ist (nicht als eigene Datei irgendwo)
gibt es keine Probleme.

Und ja, die PHP-Dateien kommen nie in den Browser.
 

Neue Beiträge

Zurück