UIN mit übergeben aus nem Formular

da-wolff · 23. November 2005, 15:08:49

Hallo,
also ich habe eine gesicherte Seite. Um auf diese Seite zu kommen muss ich einen UIN mit übergeben die von einer \"login_check.php\" überprüft wird welche ich am Anfang jeder Seite über include einbinde.
Soweit so gut.
Jetzt habe ich auf der Seite ein Formular zusammen gebastelt womit ich etwas in eine mysql Datenbank eintragen möchte.
Das Formular kann ich soweit auch ausfüllen. Aber wenn ich dann auf den submit Butten klicke muss ich mich wieder neu anmelden.
Frage: Ist es möglich dass ich auch bei dem Submit Butten Werte mit übergeben kann? Also meine UIN?
Das Formular ist nichts besonderes:


Gib den Benutzernamen und ein Passwort ein.
\" method=\"POST\" name=\"msgform\" id=\"msgform\">
\" cellspacing=\"0\" cellpadding=\"0\" align=\"center\"
width=\"50%\" bgcolor=\"\">
Name:\">
 
Passwort:\">

Ich hoffe ihr versteht mein Problem, kann das meist nicht soooo gut beschreiben.

/uploads/emoticons/icon_e_sad.gif.cc8ba2b6b966c5e020020efa47702aab.gif\" alt=\":(\" />

mahe · 23. November 2005, 17:19:45

Warum speicherst du die UIN nicht einfach in einer Session?

/uploads/emoticons/icon_e_biggrin.gif.1a84f5257b36e14b36d04985314f877f.gif\" alt=\":-D\" />

da-wolff · 24. November 2005, 10:51:06

Danke, den Gedanken hatte ich auch schon, war eigentlich ganz froh dass ichs bis jez umgehen konnte.
Vielleicht ein guten Tip wo ich verständlich für nen nooby wie mich das ganze mal nachlesen kann?
Also der Benutzername und das Passwort und so steht in ner Datenbank aber das ist denke ich uninteresant dafür oder??

raiser · 24. November 2005, 12:32:06


?var=das was du brauchst\" method=\"post\">

du hattest gesagt, das du per get was an die included login_check.php gibst
dann mach das doch auch

/uploads/emoticons/icon_e_surprised.gif.a8707b3f35a569cb4cfe563fc72ef78d.gif\" alt=\":-o\" />
Gruß raiserle

da-wolff · 24. November 2005, 13:14:44

Danke, das ist genau das was ich gesucht hab.
Frage noch dazu: Ist das so sicher mit der UIN übergeben oder gibt es da ne möglichkeit das ganze zu knacken??

raiser · 24. November 2005, 14:53:46

dort gabs schonmal so was ähnliches.....
http://www.webwork-community.net/posting8322_23_0.html\" rel=\"external nofollow\">guckst du hier
etwas per get zu übergeben..
naja, wenn es um die sicherheit geht, sprich login usw...
steht meine meinung ja in dem link oben.

da-wolff · 24. November 2005, 15:57:24

Also wenn ich das richtig verstanden habe dann ist es schon unsicher wenn ich nur meine config datei include oder??
Der ganze Post war für mich etwas verwirrend weil ich manches was da angesprochen wurde noch nicht bis vielleicht mal kurz gelesen oder gehört hab.
Ich habe immer gedacht dass das Login System was ich mir da gebastelt habe (mit etwas Hilfe) recht sicher ist.
Ich habe 2 Tabellen. User und Login.
In der User steht im Grunde genommen nur der Username und das Passwort. Das Passwort wird MD5 verschlüsselt in die Datenbank geschrieben. Beim Login wird überprüft ob die Kombination aus Usernamen und Passwort existiert. Wenn ja --> Login wenn nich --> Fehler.
Beim Login wird dann aus mehreren abgefragten Variabeln ein UIN erstellt welche in die Login Tabelle geschrieben wird. Außerdem Daten wie IP Adresse etc. Diese zur Laufzeit generierte UIN wird abgefragt und im Script (bei jeden Link) mit übergeben.
Da es recht unwarscheinlich ist dass diese UIN nochmal genau so generiert wird ist das ganze doch sicher oder?
Unsicher wäre es wenn der \"Hacker\" die Zugansdaten für den MySQL Server hat oder heraus bekommt oder?

naja, wenn es um die sicherheit geht, sprich login usw...
steht meine meinung ja in dem link oben.
[/quote]
welchen Link meinst du denn?? Entweder bin ich blind oder ich sehe ihn nicht.
Aber danke schonmal für deine Tips und Hilfe. :H:

raiser · 24. November 2005, 16:34:10

http://www.webwork-community.net/posting8322_23_0.html\" rel=\"external nofollow\">guckst du hier
das ist keiner???
will jetz nicht behaupten, das es unsicher ist, es geht nur darum, das man bei get
gut manipulieren kann

da-wolff · 25. November 2005, 08:33:52

Alles klar Danke.
Also nichts per get übergeben. Gibts denn ne sichere alternative außer dass ich die Variablen auf ihre Wertigkeit überprüfe. Ist ja voll umständlich alles.

raiser · 25. November 2005, 15:05:20

das soll doch nciht heissen, das du nichts per get übergeben sollst...
wobei es, wenn du die session
irgendwas
wenn man mal annimmt, das jemand die session bzw uin weis.
und bei sich am rechner genau das selbe eingeben würde, so wäre er laut deiner aussage
oben, eingeloggt..
http://mitglied.lycos.de/henrik001/login.jpg\" rel=\"external nofollow\">struktogramm schau hier mal nach.....
dabei wird immer die session, die der client érzeugt in die mysql geschrieben.
dabei kann sich der benutzer nur einmal einloggen, weil, wenn er einen anderen browser, (ander user (hacker))
aufmacht, wird ja ne andere session erzeugt und in die mysql geschrieben.
prüfen, ob der user eingeloggt ist..
nun brauchst nur noch fragen, hat der benutzer, der mit dem server verbunden ist
session_id()==mysqlspalte.uin true-> eingeloggt
wenn ich mich nicht irre, machts powie auch so, in seinen scripten

powie.de Tech Forum

Neuigkeiten:

UIN mit übergeben aus nem Formular

da-wolff

mahe

da-wolff

raiser

da-wolff

raiser

da-wolff

raiser

da-wolff

raiser