Website Passwortschutz
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
algorithmus
all
ausdruck
benutzt url
datei
einfache zwecke
einrichten
funktion
geheim code
gleichen parametern
karpfen
managen
marktanteil
umsetzen
url
verschiedene ergebnisse
vollen zugriff
vorteil
wissen
zugriff
-
Hallo Leute,
ich habe auf meiner Website einen Blog, nun möchte ich eine PHP-Seite schreiben, mit der ich auf diesem Blog schreiben kann. Logischerweise möchte ich, dass nicht jeder auf diese Seite zugreifen kann, weshalb ich sie mit einem Passwort schützen will. Jedoch weiß ich nicht so wirklich, wie ich das sicher bekomme.
Ist es sicher genug, wenn ich einfach in meine PHP-Datei schreibe
if ($_POST('passwort') == 'Geheim')
oder sollte ich da lieber mit password_hash() oder mit crypt() arbeiten. Das Problem, das ich damit gefunden habe ist, dass ich nicht weiß, wie ich das abgleichen soll, da beide Funktionen mit gleichen Parametern immer verschiedene Ergebnisse liefern (??).
Was ist denn der gängige, sichere Weg, an sowas ranzugehen?
Danke im Vorraus
LG tobb10001 -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Warum nutzt Du nicht .htaccess für den Passwortschutz?
https://www.redim.de/wissen/passwortschutz-mit-htaccess-einrichten
Hat auch den Vorteil, einfach einzubinden und pro User ein eigenständiges Passwort, falsch gewünscht.
Grüße
Beitrag zuletzt geändert: 11.1.2017 21:44:19 von karpfen -
Algorithmus, Durchgänge und Salt stehen entsprechend im zurückgegebenen String von password_hash(). Deswegen kann man das natürlich auch recht einfach vergleichen. Gibt auch dafür password_verfify()
-
karpfen schrieb:
Warum nutzt Du nicht .htaccess für den Passwortschutz?
https://www.redim.de/wissen/passwortschutz-mit-htaccess-einrichten
Hat auch den Vorteil, einfach einzubinden und pro User ein eigenständiges Passwort, falsch gewünscht.
Grüße
Für einfache Zwecke sicherlich ausreichend, es nur kein explizietes Usermangement so möglich. Man kann per htaccess eben nur vollen Zugriff oder keinen gewähren. Eingeschränkterechte sind mit htaccess nicht möglich.
-
all-in1 schrieb:
Für einfache Zwecke sicherlich ausreichend, es nur kein explizietes Usermangement so möglich. Man kann per htaccess eben nur vollen Zugriff oder keinen gewähren. Eingeschränkterechte sind mit htaccess nicht möglich.
Das ist klar, da hast Du vollkommen recht. Aber so wirkte auch der Eingangspost, Zugriff komplett ja/nein. Und da ist alles besser als die von ihm vorgeschlagene Lösung.
Für komplexere Zugriffe kann das Wordpress ja selbst schon managen. -
Ich hab auf meiner Website ein php-script benutzt (https://www.php-einfach.de/experte/php-codebeispiele/loginscript/), welches die user in eine mysql datenbank schreibt und die passwörter dort auch verschlüsselt speichert. Vielleicht wär das was?
-
Solange keine Sicherheitslücke in PHP ist (und das wir bei ca. 85% "Marktanteil" relativ schnell bekannt) müsste deine Funktion für deine Ansprüche vollkommen ausreichend sein. Jedoch würde ich erst mit einem regulären Ausdruck prüfen, was dir dein User ins Formular Feld geschrieben hat, damit der dir nicht irgendein Mist reinschmuggelt. Wenn du nicht weißt was reguläre Ausdrücke sind hat https://danielfett.de/de/tutorials/tutorial-regulare-ausdrucke hier ein gutes Tutorial
viel Spaß beim Umsetzen -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage