php passwortübergehen verhindern

[JustMe]

hey liebe community :)

ich habe folgendes Problem :

<?php


$nutzer = $_POST["nutzer"];
$password = $_POST["password"];




$pass = md5 ($password);






if($nutzer=="Dschey" && $pass=="7fca3136d2610cb507ee1d7cdc8b73c7")


{




    header('location: index.html');
}


else {


     header('location: error.html');
}






?>

zwar wird auf der login.html seite die passwortabfrage aktiviert , aber wenn man jetzt z.Bsp die url der index.html seite hat, die ja eigentlich passwort geschützt sein sollte ,
kann man ja die passwortabfrage übergehen ...
wie kann man das ändern das , auch wenn man die index url hat , die passwortabfrage trotzdem angefordert wird ? ^^
sorry bin noch sehr neu in php ^^

 

[scbawik]

Funktioniert die Passwortabfrage auf der 'login.HTML' Seite oder 'login.PHP' ?

Für gewöhnlich müssen alle PHP-Dateien auch mit PHP enden.

 

[JustMe]

funktionieren tut sie einwandfrei..
auf der login.html geb ich halt pass ein , die daten werden an der "name.php" überprüft , und diese leitet mich dann entweder zu der richtigen oder der falschen webseite :)
nur bringt mir halt die passwortabfrage nix , wenn die url vorhanden ist...

 

[derises]

PHP-Einfach.de - PHP Tutorial - PHP Session

Einfach eine Session starten bevor der Header gesendet wird zb. so

$_SESSION['name'] = $nutzer;

Und in die index.php ganz an den Anfang schreibst du folgendes:

session_start();

Jetzt musst du nur noch abfragen ob die Session gestartet wurde oder eben nicht.

 

[Dominic28]

Du müsstest der entsprechenden Unterseite ne Abfrage einbauen ob man eingeloggt ist.
Falls ja -> Inhalt zeigen, falls nein -> loginformular

 

[JustMe]

okay danke :)
hab den code verändert allerdings leitet er mich jetzt bei beiden möglichkeiten auf die "nicht eingeloggt seite" und
die index.html ist immer noch per url aufrufbar ...

<?php


$nutzer = $_POST["nutzer"];
$password = $_POST["password"];




$pass = md5 ($password);


session_start ();


if($nutzer=="Dschey" && $pass=="7fca3136d2610cb507ee1d7cdc8b73c7")


{
    $SESSION['nutzer'] = $_POST['nutzer'];
	$SESSION['einloggen'] = true;


}


else {
     $_SESSION['eingeloggt'] = false;


}


if
    ( $_SESSION['eingeloggt'] ==true )
    {
        header('location:index.html');
    }


    else {
        header('location:error.html');
    }


?>

 

[XraYSoLo]

JEDER der zu schützenden Seiten muss die Überprüfung der jeweils gesetzten Sessions beinhalten (und das können keine HTML-Seiten sein, soweit du den Server nicht angewiesen hast, auch HTML zu parsen).
session_start() gehört übrigens an den Anfang noch vor der Kopfauszeichnung und jeglicher anderen Ausgabe. Außerdem $_SESSION != $SESSION.

Nils aka XraYSoLo

 

[zorndyuke]

Solange du jede Seite selbst erstellst, sollte bei Verwendung von Sessions immer "session_start();" vor -JEDER- Ausgabe stehen. ( echo 'test'; wäre z.B. eine Ausgabe ).

Nebenbei heißt es in deinem Code mal "$_SESSION['einloggen']", mal "$_SESSION['einloggt']" , dass wäre in dem Fall nicht das selbe.

Und behalte immer im Kopf, dass dein Code noch viele Sicherheitslücken enthält und noch weitere folgen können und du dich weiter hin fortbilden musst. Dann wirst du in den nächsten Monaten verdammt viel neues dazu lernen.

Google->PHP Sicherheitslücken
Google->PHP XSS
Google->PHP Sicherheit Tipps Tricks

Gruß

 

[splasch]

Du gehts das Komplet falsch an. Auch auf einen Zentrallen Aufbau des Script sollte man achten.

Siehe hier: Command Board - PHP & MySQL - Problem mit Anwendung von Variable

Da findest einen Download eines fertigen simplen Login verfahren.

Mfg Splasch

 

[JustMe]

ok danke für eure hilfe :)

heist das also , das ich in den 2 seiten die nach erfolgreichen , oder halt nach nicht erfolgreichen login , einen php code mit "session ()" einbauen muss ?
würde der folgende code nach session auch mit if schleifen funktionieren ?
also wenn der login erfolgreich auf der nächsten (index.php) mit "session()" seite erneut "automatisch" geprüft
mit "true" oder "false"?

naja muss gestehn , dass ich zwar html recht gut kann , allerdings
in php kompletter newby bin ^^
d.h. ich beschäftige mich mit php intensiv erst seit 2 tagen (vorher halt nur ein wenig erfahrung in C++ wegen ausbildung), da ich meine beruflichen chancen erhöhen will :)