Hilfe gesucht! Bei Php login und Mysql

[maydayz]

Bin schon halb am verzweifeln weil ich schon ewig nicht weiterkomme.
Ich brauch unbedingt ein login script was mit einer datenbank (mysql) arbeitet.
ich weiß hier gibt es schon einige schöne beispiele, aber leider hab ich noch nicht etwas passendes gefunden.
Mir geht es dabei vorallem um die sicherheit, will ja nicht das irgendjemand direkt zugriff auf die datenbank bekommt.
Also wie verschleiere ich am besten die verbindung zur datenbank, wegen anmeldung und so.

Mein zweites problem hab ich mit der auslesung der Datenbank.
Also ich umschreib das mal kurz, der user hat die möglichkeit eine anzeige aufzugeben, und dieses werden dann angezeigt, also müssen die daten ja dann aus der datenbank ausgelesen werden.
wie man das macht ist mir klar. Ich hab nur ein problem mit der Sicherheit wenn die datenbank ankontaktiert wird. Es soll ja niemand sehen können wie die daten sind, ich mein username, passwort etc.

Kann mir bitte jemand helfen?

Bin echt dankbar für jede hilfe!!!

Mit freundlichen grüßen maydayz

[webcreate]

Verstehe Dein Sicherheitsproblem nicht so ganz ... Die DB wird doch hoffentlich eh nur als localhost angesprochen und ein Remotezugriff ist nicht möglich.
Wenn dem so ist, was eigentlich auch der Standard ist, wie soll dann wer die DB anzapfen?

Das einzige was möglich ist, ist den http Verkehr zu sniffen, dass kann man aber nicht verhindern, einzig kann man die Kommunikation via SSL verschlüsseln.

Weiterhin sollte zumindest das Passwort verschlüsselt in der DB stehen (MD5).

[fuchzga]

Zitat:

Zitat von maydayz

Ich hab nur ein problem mit der Sicherheit wenn die datenbank ankontaktiert wird. Es soll ja niemand sehen können wie die daten sind, ich mein username, passwort etc.

Wie soll man das denn sehen können?
Der Connection-String ist doch im PHP-Code enthalten, welcher auf dem Server ausgeführt wird.
Wenn ich als Browser eine www.mydomain.de/index.php aufrufe, sehe ich bestenfalls den resultierenden HTML-Code. Und da hast du ja wohl keine Passwörter eingetragen?

[webcreate]

Aber die Daten, die man dann wieder zum Server sendet kann man sniffen ... aber dazu gibt es dann ja SSL. Wobei man auch die Daten vorher verschlüsseln kann, so dass sie nicht im Klartext zum Server kommen. Jedoch nutze ich da echt lieber SSL.

[fuchzga]

Achso... ich habe es etwas anders verstanden.
Die Eingaben, welche dann im Webformular eingegeben werden (z.B. Usercredentials), gehen natürlich im klartext über die Leitung.
Sowas kann man mitsniffen. Aber auch nur wenn man Ahnung hat..

[maydayz]

ja an ssl hab ich auch schon gedacht...
aber mein prob ist mit der verbindung zur datenbank.
im php formular stehen ja die angaben wegen verbindung zur datenbank...user,passwort, datenbank eintrag.
oder bin ich da jetzt ganz falsch, zumindest hab ich das immer so gesehen.

Und hat noch jemand ne lösung wegen login script, oder kann mir eins von hier empfehlen?

Schönen abend noch

[webcreate]

PHP spricht mit der DB via localhost, also auf einem und dem selben Rechner ... was soll da belauscht werden?

[maydayz]

Zitat:

Zitat von webcreate

Die DB wird doch hoffentlich eh nur als localhost angesprochen und ein Remotezugriff ist nicht möglich.
Wenn dem so ist, was eigentlich auch der Standard ist, wie soll dann wer die DB anzapfen?

Ähh???
Sorry bin grad schwer von begriff.
Die datenbank muss ja immer erreichbar sein, da kann ich sie ja schlecht local über meinen pc laufen lassen oder hab ich da jetzt was ganz falsch verstanden.
Tut mir leid wenn ich dir grad kopfzerbrechen bereite.

[maydayz]

aber wie verschleiere ich am besten das passwort was ja dann im php formular steht?

[webcreate]

Da verstehst Du was falsch ... schau Dir mal folgendes an: http://www.uni-giessen.de/weiss/php/...sqlserver4.gif

[Rizzo]

Zitat:

Zitat von maydayz

Ähh???
Sorry bin grad schwer von begriff.
Die datenbank muss ja immer erreichbar sein, da kann ich sie ja schlecht local über meinen pc laufen lassen oder hab ich da jetzt was ganz falsch verstanden.
Tut mir leid wenn ich dir grad kopfzerbrechen bereite.

Ich vermute, dass hier mal ein Grundlagenlernen angesagt wäre. Offensichtlich hast Du noch nicht ganz verstanden wie das mit der DB funktioniert.

Der User ruft via Browser eine Datei auf (z.B. index.php), diese kontaktiert dann die DB auf dem localhost (nicht auf deinem, sondern auf dem localhost auf dem das Script liegt, also der Server), die DB schickt die angeforderten Daten zurück an's Script, das Ergebnis wird geparst (Code in HTML umgewandelt) und an den User ausgeliefert. Zu keiner Zeit sieht der User die Dateien, deren Inhalt oder kann auslesen was da drin steht - sofern der Programmierer nicht gepfuscht hat.

[webcreate]

Wenn Bilder mehr sagen, als 1000 Worte.

[maydayz]

sorry war schwer von begriff.
Entzwischen hats auch schon lange klick gemacht
Und das mit den Grundlagen lernen stimmt irgendwo.
Hat sinst noch jemand nen tip wegen nem sicheren login script?

[Sand*mann]

/10 ja

Zur Passwortverschlüsselung hat Mark doch schon das Schlüsselwort gegeben: MD5. Du speicherst das Passwort in deiner Datenbank und zwar als MD5 Hash. Wenn der user dann das passwort eingibt wird das eingegebene passwort auch direkt mit MD5 umgewandelt und mit dem wert in der datenbank verglichen. Wenn dann jemand dazwischenfunkt und sich den MD5 Hash klaut, kann er sich gerne n Eis draus backen, aber mehr kann er damit wohl auch nicht anfangen.

[webcreate]

Das einzige was hier noch zu SSL und MD5 zu sagen ist, ist dass Dein Script so sicher programmiert sein sollte, das keine Injections greifen. mysql_real_escape_string ist dann hier das Stichwort.