Wie sicher ist dieses Loginsystem

[goodfreezer]

Hallo zusammen,

für den Schutz meiner Webprojekte nutze ich in der Regel das Loginsystem aus diesem Tutorial als Basis:
http://www.tutorials.de/forum/php-tutorials/9684-php-mysql-login-system-mit-sessions.html

Mich würde interessieren, wie sicher dieses Loginsystem ist, bzw. wie leicht es für Profis ist diese Login Schutz zu knacken.

Danke für Eure Einschätzung
goodfreezer

 

[Radhad]

Genau genommen ist es garnicht sicher!

$_REQUEST sollte man nicht verwenden, da dort sowohl GET als auch POST Parameter drin sind. Somit kannst du zwar dein Formular per POST übertragen lassen, aber dein Login nimmt auch GET Parameter an. Entsprechend einfach lässt sich ein Account hacken - automatisiert natürlich

Zudem werden die Variablen aus $_REQUEST direkt verwendet - sollte man generell nicht tun und die Inhalte auf plausibilität prüfen, als Beispiel nur Buchstaben & Zahlen für den Benutzernamen zulassen.

Des weiteren werden die Variablen nicht mysql_escape() oder mysql_real_escape() maskiert, besser wären noch Prepared Statements.


Ich hoffe, dass du das so wie da beschrieben nirgends im Einsatz hast

 

[wod2008]

Radhad meinte natürlich mysql_escape_string bzw mysql_real_escape_string,

 

[saftmeister]

Entsprechend einfach lässt sich ein Account hacken - automatisiert natürlich

Nur so nebenbei: Meinst du, das allein, wenn man POST verwendet, kein automatisierter Brutforce funktioniert?

 

[goodfreezer]

Vielen Dank für die Informationen von euch.

Hätte denn wohl jemand einen Link zu einem guten bzw. besseren Login Tutorial? Oder gute Informationen wie ich geschickter an den Login Schutz rangehen soll?

Mag natürlich ungern das mich jemand anhackt

 

[CookieBuster]

Arbeite einmal dieses Tutorial von phpBuddy durch.

Ist imho gar nicht mal so schlecht, wenn auch trotzdem noch Verbesserungsfähig. Für den Anfang aber deffinitiv sicher genug!

 

[phpBuddy]

Hallo

Mich würde interessieren, wie sicher dieses Loginsystem ist

Dieses Login Script ist von 2003, also kannst Du davon ausgehen, dass es sehr wahrscheinlich unsicherer ist als Systeme, die neueste Standards berücksichtigen.

Arbeite einmal dieses Tutorial von phpBuddy durch.

Ist imho gar nicht mal so schlecht, wenn auch trotzdem noch Verbesserungsfähig. Für den Anfang aber deffinitiv sicher genug!

Verbesserungsvorschläge sind jederzeit willkommen. Was ist denn deiner Meinung nach verbesserungsfähig?
Man sollte auch im Blick behalten, dass es sich um keine fix&fertig Lösung handelt, sondern um ein Tutorial, das den Kern eines echten Login Systems erklärt.