|
  
|
Diskussion
Login-System
... mit Cookies
| wichtl |
Geschrieben am: Sa 1.03.2008, 16:54
 
|
||
|
AyomRank 3  Gruppe: Member (aktiv) Beiträge: 42 Mitglied seit: 21.01.2007 
|
htmlentities() ist imho besser als strip_tags() und mysql_real_escape_string() ist besser als addslashes(). Ansonsten mal hier schauen was es alles für XSS-Methoden gibt. -------------------- |
||
 |
 
|
| cr4m0 |
#22 Geschrieben am: So 2.03.2008, 00:26 (+07:31)
|
|
AyomRank 5 Gruppe: Member (aktiv) Beiträge: 217 Mitglied seit: 30.07.2007
|
Danke nochmal für die vielen guten Antworten!
1) Die Seite mit den XSS-Methoden ist sehr interessant. Bei mir funktioniert jedoch keine davon!  2) Ich habe jetzt überall addslashes() durch mysql_real_escape_string() ersetzt, da es wirklich sicherer ist. strip_tags() habe ich jedoch gelassen, weil es etwas völlig anderes ist als htmlentities(). strip_tags() löscht die Tags, htmlentities() wandelt sie um. 3) Gegen SQL-Injektionen ist meine Seite auf jeden Fall gesichert. Auch XSS scheint nicht möglich zu sein, zumindest habe ich es in meinen Tests nicht geschafft. Was meint ihr denn jetzt: Ist es wirklich so schlecht, die Benutzernamen und das Passwort (Hash+Salt) in einem Cookie zu speichern? Das Cookie mit der Session-ID kann ja genauso gestohlen werden wie auch das Cookie mit den Benutzerdaten. Wo liegt also der Vorteil vom Cookie mit der Session-ID? Man kann die Benutzerdaten aus dem Cookie ja eh nicht auslesen, weil man das Salt nicht kennt und das Passwort verschlüsselt ist. |
|
|
| Jürgen Auer Server-Daten - Online-CRM-Lösungen |
#23 Geschrieben am: So 2.03.2008, 21:25 (+20:59)
|
||
 AyomRank 9  Gruppe: Experten Entwicklung Beiträge: 3276 Mitglied seit: 4.02.2006
|
Eigentlich ist das eine prinzipielle Frage. Es gibt das 'Prinzip der minimalen Rechte' (Principle of least Privilege): Immer nur das verwenden, was minimal zur Erfüllung der Aufgabe notwendig ist. Da eine Session-ID zur Zweckerfüllung genügt und diese keine Information über Nutzername / Passwort enthält, ist diese Lösung vorzuziehen. Insofern kann man das durchaus als Prinzipienreiterei betrachten - die sich allerdings durchaus bewährt hat. Es gibt einfach keinen Grund, Nutzername und Passwort standardmäßig zu exportieren. Für den Artikel Datenbank-Systeme für Web- und lokalen Zugriff: Merkmale einer sicheren Architektur, den ich nach Gesprächen mit jemandem aus dem Datenschutz-Bereich geschrieben hatte, habe ich die Geschichte dieses Prinzips der minimalen Rechte ein klein wenig recherchiert. Links finden sich ganz am Ende des Artikels. Das Prinzip wurde zum ersten Mal 1975 formuliert. -------------------- Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.
Server-Daten - die Single-Data-Solution: Web-Datenbanken als Online - CRM - Lösung. Ihre Geschäftsprozesse entscheiden, was Ihre Online-Datenbank macht. Sie konzentrieren sich auf Ihr Kerngeschäft - Ihre Datenbank funktioniert. |
||
|
 
|
Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)
0 Mitglieder:
Trackback-Url: http://www.ayom.com/track/t/23204
Seiten: (2) 1 [2] |
|
Ähnliche Themen
| Themen Titel | Autor | Views | Antworten | Letzte Aktion |
| Tab-System seotechnisch richtig umsetzen? | BartTheDevil89 | 62 | 4 | So 21.03.2010, 08:39 |
| Shop System unter Wordpress | Triameh | 184 | 1 | Fr 5.03.2010, 17:36 |
| CMS System aehnlich wie NetMoms | Philfox | 259 | 5 | So 17.01.2010, 00:43 |
| 2 Leitungen 1 System :) | pixels | 209 | 2 | Di 3.11.2009, 23:48 |
Anzeige - [Hier werben / Mediadaten]
