|
  
|
Login-System, ... mit Cookies| wichtl |
Geschrieben am: Sa 1.03.2008, 16:54
 
|
||
|
AyomRank 2  Gruppe: Member (aktiv) Beiträge: 24 Mitglied seit: 21.01.2007 
|
htmlentities() ist imho besser als strip_tags() und mysql_real_escape_string() ist besser als addslashes(). Ansonsten mal hier schauen was es alles für XSS-Methoden gibt. -------------------- |
||
 |
 
|
| cr4m0 |
#22 Geschrieben am: So 2.03.2008, 00:26 (+07:31)
|
|
AyomRank 4 Gruppe: Member (aktiv) Beiträge: 178 Mitglied seit: 30.07.2007
|
Danke nochmal für die vielen guten Antworten!
1) Die Seite mit den XSS-Methoden ist sehr interessant. Bei mir funktioniert jedoch keine davon!  2) Ich habe jetzt überall addslashes() durch mysql_real_escape_string() ersetzt, da es wirklich sicherer ist. strip_tags() habe ich jedoch gelassen, weil es etwas völlig anderes ist als htmlentities(). strip_tags() löscht die Tags, htmlentities() wandelt sie um. 3) Gegen SQL-Injektionen ist meine Seite auf jeden Fall gesichert. Auch XSS scheint nicht möglich zu sein, zumindest habe ich es in meinen Tests nicht geschafft. Was meint ihr denn jetzt: Ist es wirklich so schlecht, die Benutzernamen und das Passwort (Hash+Salt) in einem Cookie zu speichern? Das Cookie mit der Session-ID kann ja genauso gestohlen werden wie auch das Cookie mit den Benutzerdaten. Wo liegt also der Vorteil vom Cookie mit der Session-ID? Man kann die Benutzerdaten aus dem Cookie ja eh nicht auslesen, weil man das Salt nicht kennt und das Passwort verschlüsselt ist. |
|
|
| jAuer Jürgen Auer - freiberufl. Programmierer |
#23 Geschrieben am: So 2.03.2008, 21:25 (+20:59)
|
||
 AyomRank 9  Gruppe: Experten Entwicklung Beiträge: 2206 Mitglied seit: 4.02.2006
|
Eigentlich ist das eine prinzipielle Frage. Es gibt das 'Prinzip der minimalen Rechte' (Principle of least Privilege): Immer nur das verwenden, was minimal zur Erfüllung der Aufgabe notwendig ist. Da eine Session-ID zur Zweckerfüllung genügt und diese keine Information über Nutzername / Passwort enthält, ist diese Lösung vorzuziehen. Insofern kann man das durchaus als Prinzipienreiterei betrachten - die sich allerdings durchaus bewährt hat. Es gibt einfach keinen Grund, Nutzername und Passwort standardmäßig zu exportieren. Für den Artikel Datenbank-Systeme für Web- und lokalen Zugriff: Merkmale einer sicheren Architektur, den ich nach Gesprächen mit jemandem aus dem Datenschutz-Bereich geschrieben hatte, habe ich die Geschichte dieses Prinzips der minimalen Rechte ein klein wenig recherchiert. Links finden sich ganz am Ende des Artikels. Das Prinzip wurde zum ersten Mal 1975 formuliert. -------------------- Web-Anwendung 3.0: Ein Online-Kalender für Termine vieler Filialen.
server-daten: Web-Datenbanken als Online - CRM - Lösung. Konzentrieren Sie sich auf Ihr Kerngeschäft - nutzen Sie eine schlanke, schnelle Online-Datenbank von verschiedenen Standorten. |
||
|
 
|
Thema wird von 0 Benutzer(n) gelesen (0 Gäste und 0 anonyme Benutzer)
0 Mitglieder:
Trackback-Url: http://www.ayom.com/track/t/23204
Seiten: (2) 1 [2] |
|
Ähnliche Themen
| Themen Titel | Autor | Views | Antworten | Letzte Aktion |
| Diskussion: Login-Skript mit Sessions, PHP und ... | Ayom-Team | 163 | 2 | Mo 11.08.2008, 03:33 |
| Unsere Portale + Affiliate-System | nacada.de | 229 | 0 | Di 22.07.2008, 22:00 |
| ICANN öffnet ihr System für Top-Level-Domains | Urs | 1356 | 43 | Mi 2.07.2008, 22:16 |
| Sicherheit im Login-Feld | webber | 522 | 19 | Mo 9.06.2008, 10:17 |
| Login-Script gesucht | anysom | 444 | 5 | Mi 23.04.2008, 16:44 |
| [S] System- und Netzwerkadministrator Zürich | Michael Fischer | 181 | 3 | Mo 14.04.2008, 23:22 |
| "Mail Delivery System" für PHP-Script abschalten | cr4m0 | 173 | 5 | Fr 21.03.2008, 00:21 |
| Kein Root-Login mehr möglich | TTlong | 376 | 6 | Di 18.03.2008, 16:26 |
Anzeige - [Interessiert an einer Anzeige?]
