DarkDragon193
Neues Mitglied
Hallo, liebe HTML.de-Comm!
Ich frage mich hin und wieder, ob mein Login-System auch wirklich gut ist... Leider habe ich jetzt konkret keinen Source Code, da ich diesen zur Zeit noch entwickle. Aber im Grunde sieht der ungefähr so aus:
Wie könnte man das System verbessern? Ich habe so ein Gefühl, dass die Abfrage nach der User-ID nicht gerade die beste ist. Außerdem, welche Vulnerabilites muss ich beachten? htmlspecialchars um Eingaben des Benutzers, die auf der Homepage ausgegeben werden, und mysql_real_escape_string um Datenbankabfragen, die vom Benutzer manipuliert werden, abzusichern. Außerdem lade ich nicht "dynamisch" mit
oder sonst etwas und mein Server ist sowieso gegen http-include geschützt. Gibt es dennoch Wege, eigenen Code extern einzubringen? Eine Liste mit bekannten XSS-Attacken würde Abhilfe schaffen... ;)
Apropos, hier geht es nicht nur um die Sicherheit des Scriptes, sondern auch um ästhetische Verbesserungen. Was gehört in ein Login-/Account-System und was ist ein NoGo?
Ich hoffe, es ist alles klar, was ich sagen will, ansonsten muss ich an meiner Ausdrucksweise arbeiten. xD
Mit freundlichen Grüßen,
DarkDragon1993
Ich frage mich hin und wieder, ob mein Login-System auch wirklich gut ist... Leider habe ich jetzt konkret keinen Source Code, da ich diesen zur Zeit noch entwickle. Aber im Grunde sieht der ungefähr so aus:
- User registriert sich.
- User bekommt eine Bestätigungs-E-Mail.
- User loggt sich ein.
- Da ich mit Sessions arbeite überprüfe ich, ob die User-ID in $_SESSION gesetzt ist.
- Zusätzliche Inhalte sind "freigeschalten".
Wie könnte man das System verbessern? Ich habe so ein Gefühl, dass die Abfrage nach der User-ID nicht gerade die beste ist. Außerdem, welche Vulnerabilites muss ich beachten? htmlspecialchars um Eingaben des Benutzers, die auf der Homepage ausgegeben werden, und mysql_real_escape_string um Datenbankabfragen, die vom Benutzer manipuliert werden, abzusichern. Außerdem lade ich nicht "dynamisch" mit
PHP:
include $_GET[ "page" ];
Apropos, hier geht es nicht nur um die Sicherheit des Scriptes, sondern auch um ästhetische Verbesserungen. Was gehört in ein Login-/Account-System und was ist ein NoGo?
Ich hoffe, es ist alles klar, was ich sagen will, ansonsten muss ich an meiner Ausdrucksweise arbeiten. xD
Mit freundlichen Grüßen,
DarkDragon1993