Ist mein Login-Script sicher?

[SteffenR]

Es sei denn du speicherst die sich ständig wechselnde SessionId in der Datenbank und checkst sie dann immer wieder > wobei .. *grübel* klappt ja auch net..

[Levis]

Und, gibts schon das perfekte Login-Script?

Folgendes Script wird am Anfang jeder zu sichernden Datei eingefügt:

PHP-Code:

session_start();
 
// Fingerprint erstellen
$user_agent_auth_key = md5($_SERVER['HTTP_USER_AGENT'].$_SERVER['PATH']);
 
// Sicherheitsabfragen
if ($_SESSION[s_id] != session_id() || $_SESSION[user] != md5("user") || $_SESSION[pwd] != md5("passwort") || $_SESSION[USER_AGENT_AUTH_KEY] != $user_agent_auth_key) {
    // Zur Login-Seite und Script beenden
    session_destroy();
    header("Location: http://...");
    exit;
} 


Die Session-Daten s_id, user, pwd und USER_AGENT_AUTH_KEY werden auf der Login-Seite zugewiesen.
Ist dieses "Sicherheitsskript" auf diese Art und Weise ausreichend sicher (mal abgesehen vom User und seinem Passwort ) ?

Es müssen hier ja alle 4 Voraussetzungen erfüllt sein, damit es überhaupt weitergeht. Das müsste doch eigentlich reichen...

Oder habe ich einen Denkfehler drin?

Im Login-Script übergebe ich die Daten mit get_magic_quotes_gpc() ? stripslashes($_POST[user]) : $_POST[user]; das dürfte doch genug Sicherheit bieten oder (auch bei SQL-Abfrage)?

[DSB]

Zitat:

Zitat von Levis

Im Login-Script übergebe ich die Daten mit get_magic_quotes_gpc() ? stripslashes($_POST[user]) : $_POST[user]; das dürfte doch genug Sicherheit bieten oder (auch bei SQL-Abfrage)?

Damit erreichst Du nur, dass Du die Werte in einem einheitlichen Format bekommst. Sonderzeichen werden dadurch nicht entfernt.
Schicke jedes Feld bei der Übergabe an MySQL durch mysql_real_escape_string(). Dann kannst Du sicher sein, dass Sonderzeichen korrekt maskiert werden.
Zusätzlich sollte man beim Absenden an mysql ein @-Zeichen vor den Query setzen und die Rückgabe selbst auf eventuelle Fehler prüfen. Dadurch werden Fehlermeldungen unterdrückt und ein Angreifer bekommt keine Anhaltspunkte.

Eine Frage habe ich noch: wozu beziehst Du Dich auf $_SERVER['PATH']?
Hast Du hier einen Denkfehler und glaubst, dass sich der Wert auf den Client bezieht? Der Serverpfad ist der des Servers und für jeden Aufruf gleich, egal woher der Aufruf kommt. Deshalb sehe ich darin keinen Sinn. Oder soll er den md5-Schlüssel lediglich länger machen?

[Levis]

Zitat:

wozu beziehst Du Dich auf $_SERVER['PATH']?

Ich habe mich auf sebs Vorschlag ohne viel nachzudenken bezogen...

Zitat:

Schicke jedes Feld bei der Übergabe an MySQL durch mysql_real_escape_string(). Dann kannst Du sicher sein, dass Sonderzeichen korrekt maskiert werden.

Ah cool, mit dieser Funktion kann meine Datenbank also nicht mehr (so einfach) durcheinander gebracht werden? Optimal, danke!

Ansonsten, (noch) eine unsichere Lücke da?

[Dani22]

Hallo,
das ist mein erster Beitrag hier im Forum und ich hätte mal die Bitte ob ihr prüfen könnt ob der Login Bereich sicher ist. Wir haben nämlich die Vermutung das dieser gehackt wurde!
die Seite lautet http://www.sturm-soemmerda.de/

Der jenige der die Seite geschrieben hat ist leider in die Schweiz gezogen und wir aktualisieren die Seite nur noch. Wir kennen uns aber so gut wie gar nicht aus!

Für eure schnelle Hilfe wäre ich dankbar


Lg Dani

[webcreate]

Ohne Code wird man nur wenig sagen können. Aber ein login via htaccess ist idR sicher.

[Dani22]

Zitat:

Zitat von webcreate

Ohne Code wird man nur wenig sagen können. Aber ein login via htaccess ist idR sicher.

Danke für die schnelle Antwort. Wo bekomme ich denn den Code her? Ich würde ihn dann gleich mal einstellen.

Lg Dani

[webcreate]

Ähm, aus den Dateien (PHP)!?
Es ist halt die Frage, ob überhaupt was in die PHP Dateien geschreiben wurde, oder ob nur eine .htaccess Datei in das Verzeichnis gelegt wurde.
Wenn nur die Datei stellt sich halt auch die Frage, ob der Server richtig konfiguriert ist ... es ist nun mal nicht eben so schnell erklärt, zumal dann nicht, wenn der Hilfesuchende nicht wirklich weiß, was da so passiert ...

[Dani22]

Zitat:

Zitat von webcreate

Ähm, aus den Dateien (PHP)!?
Es ist halt die Frage, ob überhaupt was in die PHP Dateien geschreiben wurde, oder ob nur eine .htaccess Datei in das Verzeichnis gelegt wurde.
Wenn nur die Datei stellt sich halt auch die Frage, ob der Server richtig konfiguriert ist ... es ist nun mal nicht eben so schnell erklärt, zumal dann nicht, wenn der Hilfesuchende nicht wirklich weiß, was da so passiert ...

Okay Danke! Dann muß ich mich jetzt erstmal mit unseren Schweizer in Verbindung setzen. Wenn ich was habe melde ich mich wieder.
Vielen Dank nochmal

Lg Dani