QUOTE Das Loginprinzip ist meines erachtens nicht gerade leicht zu knacken
Das Paswort als Formularwert wird MD5 verschlüsselt und datenbankseitig mit dem MD5 String veglichen welches (sofern vorhanden) zum Namen passt. Alles wird als Formularvariable nicht als Url-Variable übergeben.
Injektons wie "... or where 1=1" werden nicht zugelassen
ohne jetzt _alle_ anderen Beiträge gelesen zu haben:
Erstens ist ein normaler MD5-String so sicher wie ne Katze auf der Autobahn.
Zweitens sollte man den Login an die IP kletten inkl. individuellem Hash, um das Ausspionieren der Daten zu verhindern.
Das könnte, wie jAuer in einem anderen Beitrag mal beschrieben hatte, natürlich auch ein nur ein bspw. durch PHP-generiertes Bild sein, was die Cookies ausliest...
Man könnte dazu noch viel schreiben, aber so far scheint deine Methode nicht die sicherste zu sein.....
Ich hatte da mal einen Beitrag geschrieben, weiss aber nicht ob der noch auf dem neuesten Stand ist, kannst ja trotzdem mal reinschauen:
http://innovative-webmedia.de/2008/02/08/x...ndert/#more-144
(Übrigens: $_GET-Variablen sind meist sicherer als $_POST-Variablen. Bei $_POST, insofern kein Verbot seitens Apache vorliegt kann ich dir praktisch jeden Sch*** rübersenden.)
Das Paswort als Formularwert wird MD5 verschlüsselt und datenbankseitig mit dem MD5 String veglichen welches (sofern vorhanden) zum Namen passt. Alles wird als Formularvariable nicht als Url-Variable übergeben.
Injektons wie "... or where 1=1" werden nicht zugelassen
ohne jetzt _alle_ anderen Beiträge gelesen zu haben:
Erstens ist ein normaler MD5-String so sicher wie ne Katze auf der Autobahn.
Zweitens sollte man den Login an die IP kletten inkl. individuellem Hash, um das Ausspionieren der Daten zu verhindern.
Das könnte, wie jAuer in einem anderen Beitrag mal beschrieben hatte, natürlich auch ein nur ein bspw. durch PHP-generiertes Bild sein, was die Cookies ausliest...
Man könnte dazu noch viel schreiben, aber so far scheint deine Methode nicht die sicherste zu sein.....
Ich hatte da mal einen Beitrag geschrieben, weiss aber nicht ob der noch auf dem neuesten Stand ist, kannst ja trotzdem mal reinschauen:
http://innovative-webmedia.de/2008/02/08/x...ndert/#more-144
(Übrigens: $_GET-Variablen sind meist sicherer als $_POST-Variablen. Bei $_POST, insofern kein Verbot seitens Apache vorliegt kann ich dir praktisch jeden Sch*** rübersenden.)
