Cookies

  • PHP

  • marx
  • 1314 Aufrufe 7 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Cookies

    Tach

    Ich programmier grade ne homepage und hab mir so gedacht eig. sind meine
    Cookies nicht wirklich sicher. (bzw. zu leicht zu fälschen)

    Jetzt wollt ich fragen wie ihr eure Cookies sicher macht bzw. was ihr darin speichert....

    mfg
    [SIZE="1"] Wenn wer nen IPV sucht, melden!!!
    (\_/)
    (o.0)
    (><)
    This is Bunny. Copy Bunny into your signature to help him on his way to world domination
    [/SIZE]

  • sers
    also ich geh mal davon aus, dass du die cookies benuttz, um logindaten aufm rechner des cleinten zu habn.

    also meiner meinung nach ist es sehr sicher, dass pw und username in 2 seperaten cookies zu speichern.

    mit den beiden kanns du dann zb eine function schreiben, die einträge in der userliste sucht, die usernamen und passwort des cookies beinhalten.
    Ist das der fall, wird true ueber geben und das script wird ausgeführt... andernfalls wird es abgebrochen.

    so macht es ein vBulletin board gnau so... und das is sehr sicher.

    ´gruß
    [size=1][FONT="Courier New"]###############_###_####_
    #_ __ #___ _ _| |_(_)__(_)__ _ _ _###############new uploads: [1] [2] [3] [4] [5] [6] [7] [8]
    |#'##\/ _ \ '_|##_| / _| / _` | ' \
    |_|_|_\___/_|##\__|_\__|_\__,_|_||_|###############Bis 28. Sept. weg[/FONT][/size]

  • was willsn da großartig mit anfangne.... wenn die cookies aufm clientrechner sind, koennense zwar geändert werden.
    wenn du aber durch die funktion immer die abfragste machst, ob cookieinformationen datenbankeintrag ausgeben, hast du eine sehr große Sicherheit.

    ´gruß

    p.s
    gibt naemlich einige (meist anfänger) die großen fehler machen, zum Beispiel einfach nach erfolgreichem Login ein Cookie mit zb Login = True setzten... und das script immer ausgeführt wird, wenn Login == True ist... sehr dumm.... denn so kann jeder Client ein Cookie auf seinem Rechner setzen, was den Wert der Variablen Login mit true beinhaltet.
    [size=1][FONT="Courier New"]###############_###_####_
    #_ __ #___ _ _| |_(_)__(_)__ _ _ _###############new uploads: [1] [2] [3] [4] [5] [6] [7] [8]
    |#'##\/ _ \ '_|##_| / _| / _` | ' \
    |_|_|_\___/_|##\__|_\__|_\__,_|_||_|###############Bis 28. Sept. weg[/FONT][/size]


  • p.s
    gibt naemlich einige (meist anfänger) die großen fehler machen, zum Beispiel einfach nach erfolgreichem Login ein Cookie mit zb Login = True setzten... und das script immer ausgeführt wird, wenn Login == True ist... sehr dumm.... denn so kann jeder Client ein Cookie auf seinem Rechner setzen, was den Wert der Variablen Login mit true beinhaltet.


    ja sowas würde mir eh nie einfallen :D

    aber ich bin halt ein Sicherheitsfanatiker

    mfg
    [SIZE="1"] Wenn wer nen IPV sucht, melden!!!
    (\_/)
    (o.0)
    (><)
    This is Bunny. Copy Bunny into your signature to help him on his way to world domination
    [/SIZE]

  • Etwas professionellere Version:

    Du speicherst Username und das verschlüsselte(!) Passwort erstmal in einem Array z. B.:

    PHP-Quellcode

    1. $aData = array('Benutzername', 'Passwort');


    Nun machst du daraus eine speicherbare Zeichenkette und wandelst es zu einem Hexadezimal Wert, damit du keine Sonderzeichen beim Speichern hast:

    PHP-Quellcode

    1. $aDataSave = bin2hex(serialize($aData));


    $aDataSave sieht etwa so aus: 2f5e87ad43f510ed43f5e87abe2...
    Nun kannst du $aDataSave in einem Cookie speichern.

    Beim Auslesen kommst du wieder wie folgt an die Logindaten ran:

    PHP-Quellcode

    1. function hex2bin($data)
    2. {
    3. $len = strlen($data);
    4. return pack('H'.$len, $data);
    5. }
    7. $sCookie = &$_COOKIE['CookieName'];
    8. list($sUsername, $sPasswort) = unserialize(hex2bin($sCookie));
    9. echo "User: ".$sUsername." - Passwort: ".$sPasswort;

    Jetzt musst du nur noch den Usernamen und das verschlüsselte(!) Passwort mit deiner Datenbank abgleichen bzw. prüfen.

    Bei Fragen einfach PN ;)

    mfg
    Kool_Savas
    "Ich spitt' zu gefährlich, um anderen Rappern Hoffnung zu geben, es geht, ich fing an ohne Talent und Plan und mittlerweile kennt jeder in Deutschland mein Namen!
    "http://www.freesoft-board.to/…links-machen-164135.html"