|
You last visited: Today at 05:25
Advertisement
[PHP] Sicheres Auto Login System
Discussion on [PHP] Sicheres Auto Login System within the Coding Tutorials forum part of the General Coding category.
07/06/2013, 11:44
|
#1
|
elite*gold: 18 
Join Date: Sep 2009
Posts: 20,174
Received Thanks: 14,475
|
[PHP] Sicheres Auto Login System
.
|
|
|
|
07/06/2013, 16:58
|
#2
|
elite*gold: 2932
Join Date: Oct 2009
Posts: 6,966
Received Thanks: 1,097
|
was spricht deiner meinung nach gegen die ganz normale php session?
|
|
|
|
|
07/06/2013, 17:10
|
#3
|
elite*gold: 18
Join Date: Sep 2009
Posts: 20,174
Received Thanks: 14,475
|
Eine Session ist natürlich auch von Vorteil und kommt hier auch zum einsatz, nur ist bei Cookies die Lebensdauer der entscheidende vorteil.
Ich tendiere zu einer Mischung.
|
|
|
|
|
07/06/2013, 17:15
|
#4
|
elite*gold: 0
Join Date: Jul 2013
Posts: 1
Received Thanks: 0
|
Ich hörte die Lebensdauer von Sessions kann man auch einschränken.
|
|
|
|
|
07/06/2013, 20:58
|
#5
|
elite*gold: 4
Join Date: Feb 2008
Posts: 3,854
Received Thanks: 1,268
|
Das Problem ist folgendes, mit den Keksen: Was tust Du, wenn der Benutzer die Kekse nicht zulässt? Du kommst um eine PHP basierte Session nicht herum.
|
|
|
|
|
07/06/2013, 21:10
|
#6
|
elite*gold: 18
Join Date: Sep 2009
Posts: 20,174
Received Thanks: 14,475
|
Wenn jemand Kekse nicht akzeptiert, dann wird dieser genauso wenig auf "Angemeldet bleiben" klicken 
|
|
|
|
|
07/06/2013, 21:30
|
#7
|
elite*gold: 2932
Join Date: Oct 2009
Posts: 6,966
Received Thanks: 1,097
|
auch die phpsession läuft mit nem cookie, da das http protokoll zustandslos ist bleibt dir nichts anderes übrig als cookies zu nutzen um user in irgendeiner form einzuloggen.
|
|
|
|
|
07/06/2013, 21:34
|
#8
|
elite*gold: 18
Join Date: Sep 2009
Posts: 20,174
Received Thanks: 14,475
|
Man kann auch nur Sessions nutzen aber wo bleibt der Sinn ohne Cookies eines Auto Logins.
Hier geht es doch um ein Auto Login und so unsicher ist das Script gerade auch nicht.
|
|
|
|
|
07/06/2013, 22:36
|
#9
|
elite*gold: 1329
Join Date: Jun 2009
Posts: 1,873
Received Thanks: 960
|
Was tolio sagen will:
Benutz nich nen Cookie zum Speichern der SID, sondern z.B. nen GET Parameter.
Und dann kannst du natürlich Cookies ganz normal für "Remember Me" verwenden.
btw, kommt das nich in die Tutorials Sektion? Sollte mal n Mod verschieben...
|
|
|
|
|
07/06/2013, 22:44
|
#10
|
elite*gold: 18
Join Date: Sep 2009
Posts: 20,174
Received Thanks: 14,475
|
Ich denke hier ist es besser aufgehoben, da es zum Web Developement dazu gehört.
Was meinst du mit "benutz' einen GET Parameter" ? Hast du ein beispiel dafür ?
|
|
|
|
|
07/06/2013, 23:05
|
#11
|
elite*gold: 0
Join Date: Jan 2013
Posts: 358
Received Thanks: 105
|
#Wichtig;
Cookies werden Client-Side gespeichert und können so ganz leicht zur SQL Injektion führen
wenn man Cookies in die Datenbank abfrage hinzufügt deshalb niemals vergessen die Parameter zu Escapen. Man sollte sowieso lieber zu viel Escapen als zu Wenig.
|
|
|
|
|
07/07/2013, 00:09
|
#12
|
elite*gold: 1329
Join Date: Jun 2009
Posts: 1,873
Received Thanks: 960
|
Quote:
Originally Posted by Sedrika
Ich denke hier ist es besser aufgehoben, da es zum Web Developement dazu gehört.
Was meinst du mit "benutz' einen GET Parameter" ? Hast du ein beispiel dafür ?
|
Ja, aber es ist immer noch ein Tutorial, und solche gehören imo in die entsprechende Unterabteilung.
Einfach bei allen Links die SID hinten anfügen und dann in PHP den GET Parameter statt dem Cookie nehmen, um die Session zu initialisieren.
<a href="index.php?sid=ih3tub2ig93nu23bgi2rbnu2ilr">H ome</a>
Du musst das natürlich mit PHP an jeden Link anfügen.
|
|
|
|
|
07/07/2013, 00:14
|
#13
|
elite*gold: 0
Join Date: Feb 2010
Posts: 72
Received Thanks: 32
|
Quote:
|
<a href="index.php?sid=ih3tub2ig93nu23bgi2rbnu2ilr">H ome</a>
|
DAS würde ich nicht machen, denn wenn der Benutzer jemanden diesen Link sendet und die Session noch nicht beendet wurde hat dieser seinen Zugang
Da müsste man wieder mit IP/MAC-Adresse/etc.. validieren, ob es der selbe ist.
|
|
|
|
|
07/07/2013, 00:16
|
#14
|
elite*gold: 18
Join Date: Sep 2009
Posts: 20,174
Received Thanks: 14,475
|
Quote:
Originally Posted by flogi333
DAS würde ich nicht machen, denn wenn der Benutzer jemanden diesen Link sendet und die Session noch nicht beendet wurde hat dieser seinen Zugang
Da müsste man wieder mit IP/MAC-Adresse/etc.. validieren, ob es der selbe ist.
|
Sehe ich genauso.
Das mit dem GET Parameter wäre schwachsinnig.
Und natürlich ist dies nur ein Beispiel wie man es machen kann. Natürlich muss man Escapen und den Login allgemein Validieren, das ist aber bei jedem so verschieden, dass ich darauf nicht eingegangen bin.
|
|
|
|
|
07/07/2013, 08:15
|
#15
|
elite*gold: 1329
Join Date: Jun 2009
Posts: 1,873
Received Thanks: 960
|
Quote:
Originally Posted by flogi333
DAS würde ich nicht machen, denn wenn der Benutzer jemanden diesen Link sendet und die Session noch nicht beendet wurde hat dieser seinen Zugang
Da müsste man wieder mit IP/MAC-Adresse/etc.. validieren, ob es der selbe ist.
|
Aber dann hast du doch trotzdem wieder diesen Link^^
Natürlich zieht das wieder eine neue Reihe an Sicherheitsprüfungen hinter sich her.
Der GET Parameter ist aber keinesfalls Schwachsinn, sondern eine GÄNGIGE Methode, um Sessions ohne Cookie Unterstützung durchzusetzen (mir fallen nur sehr abenteuerliche Alternativen ein).
Vor allem Leute, die professionell arbeiten, bedienen sich solcher Mittel, deshalb denke ich, dass dies in diesem Forum(/Thread) einfach fehl am Platz ist.
RL Beispiele:
...
Warum man allerdings nur selten auf SIDs in URLs stößt ist, weil es eben eine Menge Arbeit ist (immerhin müssen alle Links entsprechend geändert werden). Ohne ein entsprechendes System im Hintergrund würde ich persönlich auch auf sowas verzichten und den Besucher auffordern, Cookies zu aktivieren.
|
|
|
|
Similar Threads
|
[VB.net]Sicheres Key System?
11/27/2011 - .NET Languages - 9 Replies
Könnte mir mal wer zeigen wie man ein sicheres Key system macht?
Man sollte bei Programm start den key eingeben müssen und wenn man ihn eingegeben hat dann beim nächsten start nicht mehr wie geht das?
|
Auto Login System- Forcing Players To Buy Premium
07/14/2009 - Silkroad Online - 35 Replies
This is a new way to force players to buy premiums.
Just image how long you have to wait till there is going to be just one free slot.
Do you know how long it could take to login when there are ~4000 Bots trying to login at the same time ?
Well, I think its time to say Bye Bye iSRO since Im not going to buy Premium just to be able to login.
|
All times are GMT +1. The time now is 05:26.
|
|
![[PHP] Sicheres Auto Login System](https://www.elitepvpers.com/forum/iconimages/coding-tutorials/php-sicheres-auto-login-system_ltr.gif){kind=small}
