Jump to content
Sign in to follow this  
da-wolff

UIN mit übergeben aus nem Formular

Recommended Posts

Hallo,


also ich habe eine gesicherte Seite. Um auf diese Seite zu kommen muss ich einen UIN mit übergeben die von einer "login_check.php" überprüft wird welche ich am Anfang jeder Seite über include einbinde.

Soweit so gut.

Jetzt habe ich auf der Seite ein Formular zusammen gebastelt womit ich etwas in eine mysql Datenbank eintragen möchte.

Das Formular kann ich soweit auch ausfüllen. Aber wenn ich dann auf den submit Butten klicke muss ich mich wieder neu anmelden.

Frage: Ist es möglich dass ich auch bei dem Submit Butten Werte mit übergeben kann? Also meine UIN?


Das Formular ist nichts besonderes:

 

Gib den Benutzernamen und ein Passwort ein.
" method="POST" name="msgform" id="msgform">
" cellspacing="0" cellpadding="0" align="center"

width="50%" bgcolor="">

Name:">

 

Passwort:">

 

 






Ich hoffe ihr versteht mein Problem, kann das meist nicht soooo gut beschreiben. :(

Share this post


Link to post
Share on other sites

Danke, den Gedanken hatte ich auch schon, war eigentlich ganz froh dass ichs bis jez umgehen konnte.

Vielleicht ein guten Tip wo ich verständlich für nen nooby wie mich das ganze mal nachlesen kann?

Also der Benutzername und das Passwort und so steht in ner Datenbank aber das ist denke ich uninteresant dafür oder??

Share this post


Link to post
Share on other sites

?var=das was du brauchst" method="post">


du hattest gesagt, das du per get was an die included login_check.php gibst

dann mach das doch auch :-o


Gruß raiserle

Share this post


Link to post
Share on other sites

Danke, das ist genau das was ich gesucht hab.

Frage noch dazu: Ist das so sicher mit der UIN übergeben oder gibt es da ne möglichkeit das ganze zu knacken??

Share this post


Link to post
Share on other sites

Also wenn ich das richtig verstanden habe dann ist es schon unsicher wenn ich nur meine config datei include oder??

Der ganze Post war für mich etwas verwirrend weil ich manches was da angesprochen wurde noch nicht bis vielleicht mal kurz gelesen oder gehört hab.


Ich habe immer gedacht dass das Login System was ich mir da gebastelt habe (mit etwas Hilfe) recht sicher ist.

Ich habe 2 Tabellen. User und Login.

In der User steht im Grunde genommen nur der Username und das Passwort. Das Passwort wird MD5 verschlüsselt in die Datenbank geschrieben. Beim Login wird überprüft ob die Kombination aus Usernamen und Passwort existiert. Wenn ja --> Login wenn nich --> Fehler.

Beim Login wird dann aus mehreren abgefragten Variabeln ein UIN erstellt welche in die Login Tabelle geschrieben wird. Außerdem Daten wie IP Adresse etc. Diese zur Laufzeit generierte UIN wird abgefragt und im Script (bei jeden Link) mit übergeben.

Da es recht unwarscheinlich ist dass diese UIN nochmal genau so generiert wird ist das ganze doch sicher oder?

Unsicher wäre es wenn der "Hacker" die Zugansdaten für den MySQL Server hat oder heraus bekommt oder?



naja, wenn es um die sicherheit geht, sprich login usw...

steht meine meinung ja in dem link oben.



welchen Link meinst du denn?? Entweder bin ich blind oder ich sehe ihn nicht.

Aber danke schonmal für deine Tips und Hilfe. :H:

Share this post


Link to post
Share on other sites

Alles klar Danke.

Also nichts per get übergeben. Gibts denn ne sichere alternative außer dass ich die Variablen auf ihre Wertigkeit überprüfe. Ist ja voll umständlich alles.

Share this post


Link to post
Share on other sites

das soll doch nciht heissen, das du nichts per get übergeben sollst...

wobei es, wenn du die session

irgendwas


wenn man mal annimmt, das jemand die session bzw uin weis.

und bei sich am rechner genau das selbe eingeben würde, so wäre er laut deiner aussage

oben, eingeloggt..

struktogramm schau hier mal nach.....

dabei wird immer die session, die der client érzeugt in die mysql geschrieben.

dabei kann sich der benutzer nur einmal einloggen, weil, wenn er einen anderen browser, (ander user (hacker))

aufmacht, wird ja ne andere session erzeugt und in die mysql geschrieben.


prüfen, ob der user eingeloggt ist..

nun brauchst nur noch fragen, hat der benutzer, der mit dem server verbunden ist

session_id()==mysqlspalte.uin true-> eingeloggt


wenn ich mich nicht irre, machts powie auch so, in seinen scripten

Share this post


Link to post
Share on other sites
Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...