PHP User verifizieren?

Hi, ich bin grad dabei ne Website für ein kleines Startup zu programmieren und hänge grad am Login System. Ich hab dabei kein wirkliches Problem sondern eher ne allgemeine Frage:

Wie kann man sicher und sinnvoll einen User verifizieren

Momentan mache ich das so:
Ein User registriert sich, woraufhin in der Datenbank für diesen User ein einzigartiger "Verifizierungscode" generiert wird. Dieser wird dann, wenn er sich einloggt, auf dem PC des Users per Cookie gespeichert. Wenn der User jetzt auf sein Dashboard zugreifen will, wird einfach, wenn vorhanden, der Inhalt des Cookies mit allen Verifizierungscodes in der Datenbank abgeglichen und bei der Zeile, in der die Codes übereinstimmen, wird daraus dann der User geladen. Hoffe das ist verständlich, ansonsten einfach nachfragen.

Den Inhalt des Cookies kann man auch nicht durch irgendwelches rumprobieren herausfinden, da ich diesen mit password_hash() gehashed habe.

Mein Problem jetzt: Ich habe mir einige Docs und Sicherheitsberichte durchgelesen in denen häufig gesagt wird, man solle den User nicht nur anhand eines Cookies automatisch einloggen. Nur leider wird nirgends erwähnt, was man sonst noch so machen könnte, da die Gefahr, dass der Cookie geklaut wird oder ähnliches ja schon besteht. (Cookie Hijacking).

Hat jemand ne sinnvolle Antwort auf mein Problem oder andere Lösungsvorschläge?

10.02.2022, 22:40

ich habe auch schon gedacht, dass ich einfach die IP speichere, diese ändert sich ja aber andauernd, macht also auch keinen Sinn :(

2 Antworten

kmkcl

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

10.02.2022, 22:50

Ich denke, was die "großen" Anbieter (Amazon, Google, Facebook und Co) machen, sind heuristische Methoden. Es werden "Auffälligkeiten" erkannt, etwa anderer Browser als üblich, IP-Adresse von anderem Anbieter/aus anderem Land, Betriebssystem, etc...

Gerade wenn es ein gespeichertes Cookie ist, sollten sich ja nicht plötzlich Browser, etc... ändern. Ansonsten hilft, denke ich, nur in regelmäßigen Abständen oder für Kontofunktionen (Passwort-Einstellungen...) zwingende Neuanmeldung. Am Besten noch mit Zweifaktorauthentifizierung.

ArduinoGeek

Fragesteller

10.02.2022, 22:53

Ok danke! Zweifaktorauth. werd ich auf jeden Fall noch einbauen :).

CoSci

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

10.02.2022, 22:35

Ich mach das bei meinen Projekten immer mit Sessions auf dem Server und speichere darin dann die Werte und auch den Login immer ein paar Stunden/Tage, damit ich nicht bei jedem Seiten aufruf eine Datenbank abfrage erzeugen muss, ist aber glaube ich/finde ich auch nicht die beste Lösung.

ArduinoGeek

Fragesteller

10.02.2022, 22:37

danke für die Antwort!

LeBonyt

10.02.2022, 22:46

Doch das kann man so machen mit den Sessions auf Serverseite.

CoSci

12.02.2022, 16:50

@LeBonyt

Kann man so machen, denke gibt aber auch deutlich elegantere Lösungen.

Wie würde ich das hier am besten mit einer If-Abfrage überprüfen bevor es etwas in die SQL Datenbank schreibt ?

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestDatenbank';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

...zur Frage

Xampp MySQL Datenbank "Zugriff verweigert"?

Hallo! Ich habe bei Apache und MySQL in allen Config Dateien (my.ini + config.inc.php den selben User, das selbe Passwort und den selben Port eingestellt. Wenn ich nun zu meiner Seite verbinde und PHPMyAdmin aufrufen will kommt immer nur dieser Screen: http://puu.sh/jmkGp/591d67c2c1.png Alle Namen sind gleich und auch passwörter, trotzdem will er nicht :/ Braucht ihr hier noch den Inhalt der Configs? Ich sollte anmerken, dass Ich wenig Erfahrung im Gebiet MySQL/Php habe, trotzdem brauche ich eine Datenbank :/ Danke!

...zur Frage

ImmobilienScou24 Bonitätscheck lässt sich nicht verifizieren?

Hallo

Auf ImmobilienScout24, ist es ja möglich seinen SCHUFA Bonitätscheck hochzuladen bzw zu verifizieren. So ich hab diesen vor 3 Wochen über die Sparkasse Beantragt und sofort per Mail bekommen. Nun hab ich aber das Problem das sich das nicht auf der Seite verifizieren lässt. Es erscheint nur folgende fehler Meldung.

,,Der Code konnte nicht verifiziert werden. Bitte nutzen Sie die gleiche Schreibweise des Vor- sowie Nachnamens wie auf Ihrem Dokument und überprüfen Sie, ob der dazu passende Verifizierungscode richtig bzw. noch gültig ist. Nicht mehr gültige Verifizierungscodes werden nicht akzeptiert.,,

Bevor jemand fragt ja er ist noch Gültig und über ,,meineSCHUFA.de/check,, kann ich auch nachschauen und er ist noch gültig. Wieso kann ich ihn nicht über die Immobilienscout24 Seite verifizieren und meinem Konto hinzufügen.

Ich habe alles Mögliche Probiert (Ich habe 4 Namen und dachte das vllt einer weggelassen wurde) aber nichts hilft.

Hat vielleicht jemand das gleiche Problem und hat eine lösung dafür Gefunden ?

Danke im voraus

...zur Frage

Was speichert man in Datenbanken ab?

Was wird da abgespeichert genau? .z.B. habe ich eine Website programmiert die halt nicht so groß ist aber ich möchte mit Datenbanken arbeiten was und wie (programm) speicher ich das ab?

...zur Frage

PHP MySql Login / Passwort überprüfung?

Kann mir da jemand sagen wo der Fehler liegt ? Ich bin da am verzweifeln.

Login, Registrierung, Fehlermeldung, SQL Struktur habe ich alles in die Frage gepackt damit ihr einen besseren überblick habt.

login.php:

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

    $username = htmlspecialchars(stripslashes(trim($_POST['username'])));
    $password = htmlspecialchars(stripslashes(trim($_POST['password'])));

    $statement = $pdo->prepare("SELECT * FROM user WHERE username = :username");
    $result = $statement->execute(array('username' => $username
                                    ));
    $user = $statement->fetch();
    //Überprüfung des Passworts
    if ($user !== false && password_verify($username, $password['passwort'])) {
        $_SESSION['userid'] = $user['id'];
        die('Login erfolgreich. Weiter zu <a href="geheim.php">internen Bereich</a>');
    } else {
        $errorMessage = "Nutzername oder Passwort war ungültig<br>";
    }

}catch (PDOException $e) {
    print "Error!: " . $e->getMessage() ;
    exit;
  }

Konsole :

<br />
<b>Warning</b>: Undefined variable $pdo in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />
<br />
<b>Fatal error</b>: Uncaught Error: Call to a member function prepare() on null in C:\xampp\htdocs\Test\assets\php\login.php:14
Stack trace:
#0 {main}
 thrown in <b>C:\xampp\htdocs\Test\assets\php\login.php</b> on line <b>14</b><br />

register.php

<?php
   $server = 'localhost';
   $user = 'root';
   $psw = null;
   $dbName = 'TestApp';
try {
   $conn = new PDO('mysql:host='.$server.';dbname='.$dbName.';charset=utf8', $user, $psw);
   $conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
   $conn->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

// POST wird mit AJAX gesendet
   $username = htmlspecialchars(stripslashes((trim($_POST["username"])))) ;
   $password =  password_hash(htmlspecialchars(stripslashes((trim($_POST["password"])))) ,PASSWORD_DEFAULT) ;
   $cash =     100;

// Schreibt in die Datenbank

   $sql = "INSERT INTO user (username,password,cash) VALUES (:username,:password,:cash) ";
   $sqlvars = array("username"  => $username,
   "password" => $password,
   "cash" => $cash);
   $Abfrage = $conn->prepare($sql);
   $Abfrage->execute($sqlvars);


}catch (PDOException $e) {
  print "Error!: " . $e->getMessage() . "<br/>";
  exit;
}

SQL STRUKTUR :

Datenbankname : Test

Tabelle : user , 5 Spalten/Rows

id | int , (auto increment)
username | varchar , (unique)
password | varchar, (gehasht mit salt sha512)
cash | varchar
time | datetime, (mit current time stamp)

und ich mache alles mit AJAX.

-PDO statt mysqli

...zur Frage

Daten aus MySQL auf Website darstellen?

Ich habe Daten in einer MySQL Datenbank, die ich gerne auf einer Website darstellen möchte, jeweils immer beim Klick auf einen Button (pro Button eine etwas andere Abfrage)

Eine entsprechende Abfrage dafür wird in JavaScript bereits erstellt.

Jetzt müssen die Daten nur noch abgerufen und eingefügt werden. - Nach allem, was ich gelesen habe, soll es sehr umständlich sein, MySQL in JavaScript zu verbinden.

Bisher habe ich probiert, die Abfrage per Cookie in PHP zu übertragen, dort die Daten abzufragen und zu echoen - das ganze mit einem getElementById().innervalue = ..., sodass immer die aktuelle Abfrage im DOM-Element ist, das passiert aber nur beim ersten Mal.

Das Abfragen der Daten in PHP und Zurückgeben an JS hat weder über einen Cookie, noch ein echo funktioniert.

...zur Frage

phpMyAdmin: Fehler bei der Konfiguration?

Moin zusammen,

nachdem ich XAMPP auf meinem Rechner neu eingerichtet habe, bekomme ich jetzt Fehlermeldungen bei phpMyAdmin:

Fehler: mysqli::query(): (HY000/1018): Verzeichnis von '.' nicht lesbar (Fehler: 13 &quot;Permission denied&quot;)

Logisch, der Fehler ist "offensichtlich", er kann ein Verzeichnis nicht lesen. Lese+Schreib-Rechte geben hab ich schon versucht.

Wenn ich auf den Link "Finden Sie heraus warum" gehe, gibt er mir die Möglichkeit, eine Datenbank anzulegen und die Konfigurationsspeicher-Tabellen einzurichten.

Wenn ich auf "anlegen" klicke, kommt eine weitere Fehlermeldung:

Die config.inc.php spuckt das hier aus:

$cfg['blowfish_secret'] = 'xampp'; /* YOU SHOULD CHANGE THIS FOR A MORE SECURE COOKIE AUTH! */

/**
 * Servers configuration
 */
$i = 0;

/**
 * First server
 */
$i++;
/* Authentication type */
$cfg['Servers'][$i]['auth_type'] = 'config';
$cfg['Servers'][$i]['user'] = 'root';
$cfg['Servers'][$i]['password'] = '';
/* Server parameters */
$cfg['Servers'][$i]['host'] = '127.0.0.1';
$cfg['Servers'][$i]['compress'] = false;
$cfg['Servers'][$i]['AllowNoPassword'] = true;

/**
 * phpMyAdmin configuration storage settings.
 */

/* User used to manipulate with storage */
// $cfg['Servers'][$i]['controlhost'] = '';
// $cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = '';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_coords'] = 'pma__designer_coords';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';

/**
 * End of servers configuration
 */

Heute Mittag hat alles noch wunderbar funktioniert. Ich hatte dann versucht, mit compose phpmailer zu installieren. Da bekam ich dann Probleme mit den Rechten bei den Ordnern (innerhalb von lampp) und hab da womöglich irgendwas kaputt gemacht und jetzt alles neu installiert mit dem Ergebnis, dass MySQL Probleme macht.

Weiß jemand Rat? ^^

...zur Frage

Wordpress: Cookie von Pop up Maker nachträglich in Borlabs einfügen?

Also folgendes: Um das Cookie des besagten Pop ups (damit der User das nicht immer wieder neu wegklicken muss) noch nachträglich in Borlabs einfügen kann, gehe ich in Borlabs auf "Neu hinzufügen" und dann auf "Benutzerdefiniert" (weil es ja weder ein Cookie für Google Analytics ist noch ein Facebook Pixel oder sonst eines ist, für das es bereits ein Vorlage gäbe). Um das zu vollenden, bräuchte ich die ID und den JavaScript Code. Tja, wo finde ich das? Das muss doch irgendwo im Plugin vom Pop up Maker hinterlegt sein. Beim Erstellen des Pop ups und des dazugehörigen Cookies habe ich auch Zugriff auf den Code, aber nachträglich muss das doch noch irgendwo hinterlegt sein? Vielen Dank :)

...zur Frage

Google Chrome "sperrt" Cookie-Auswahlmenu bei vielen Seiten. Warum?

Wie der Titel schon präzise genug ist. Selbst in Gutefrage hatte ich schwierigkeiten da kurz nachdem ich die Seite betrete der "interne Popup" auftaucht und nach 0.5s sich wieder schließt. Nur mit Geschwindigkeit konnte ich auf akzeptieren klicken. Es ist total komisch und passiert sonst in keinem anderen Browser auf. Cookies werden natürlich nicht blockiert und in den Einstellungen habe ich alles getestet aber ohne Effekt. Natürlich ist für manche User, Chrome totaler schmutz aber es ist eben nicht das Problem, eben nur nicht für mich.

...zur Frage

Java-Projekt: Wie lasse ich den Inhalt der Datenbank in einer Tabelle anzeigen?

Ich habe jetzt über mehrere Wege versucht, den Inhalt der Datenbank in der Tabelle anzeigen zu lassen und bin immer wieder auf mehr Probleme gestoßen. Kann mir jemand helfen?

Ich weiß nicht, wie ich das angehen soll und ob ich den Anfang überhaupt richtig habe.

Ich kopiere den Code aus der Datenbankklasse mal rein.

package kontaktVerwaltung;

import java.awt.Checkbox;
import java.awt.GraphicsConfiguration;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ArrayList;
import javax.swing.JOptionPane;
import com.mysql.cj.protocol.Resultset;

class Db {
  private kontaktVerwaltungClass cw;

  public Db(kontaktVerwaltungClass cw) {
    this.cw = cw;
  }

  public void speichern() {
    String url = "jdbc:mysql://localhost:3306/verwaltung";
    String user = "root";
    String pass = "";

    try {
      Connection con = DriverManager.getConnection(url, user, pass);
      String sql = "insert into contact(name, adress, postcode, website) values(?,?,?,?)";
      PreparedStatement pstmt = con.prepareStatement(sql);
      pstmt.setString(1, cw.tfName.getText());
      pstmt.setString(2, cw.tfAdress.getText());
      pstmt.setString(3, cw.tfPostcode.getText());
      pstmt.setString(4, cw.tfWebsite.getText());
      pstmt.execute();

      con.close();
    }
    catch (SQLException e) {
      JOptionPane.showMessageDialog(null, e.getMessage());
    }
  }

  public void show() {
    String url = "jdbc:mysql://localhost:3306/verwaltung";
    String user = "root";
    String pass = "";

    try {
      Connection con = DriverManager.getConnection(url, user, pass);
      String query1 = "SELECT * FROM contact";
      Statement st = con.createStatement();
      ResultSet rs = st.executeQuery(query1);
      kontaktVerwaltungClass kw;

      while(((ResultSet) rs).next()) {
        kw = new kontaktVerwaltungClass();
        kw.tbShow.add(rs);
      }

      con.close();
    }
    catch (SQLException e) {
      JOptionPane.showMessageDialog(null, e.getMessage());
    }
  }
}

...zur Frage

Php Hashen mit "Salz" / PASSWORD_DEFAULT?

$password = "passwort";
$hashed = password_hash($password, PASSWORD_DEFAULT);
if(password_verify($password, $hashed)){
    echo $hashed;
}

Also so würde ich jetzt den string "passwort" hashen mit etwas vollkommen zufälligem / salz und es zb auf meiner datenbank speicher, alles schön und gut.

Jetzt kommt das große aber, wenn ich die Seite von irgendwo anders aufrufe. Dann mich einloggen will wird das eingegebene wieder gehasht mit einem salz um es mit der sql datenbank abzugleichen.

Das geht aber garnicht weil dieses Salz doch immer ein anderer ist wenn ihr versteht was ich meine.

Hashes ohne salz vergleichen kriege ich schonmal ohne probleme hin.

zum beispiel so würde mein login/abgleich mit der datenbank aussehen :

if(isset($_POST["username"]) && isset($_POST["password"])){

$hash = hash("sha512", $_POST["password"]);

$mysqli1 = new mysqli($servername, $user, $pw, $db);
$result = $mysqli1->query('SELECT id FROM user WHERE username = "'. $_POST["username"]. '"  ');
$result1 = $mysqli1->query('SELECT id FROM user WHERE password = "'. $hash. '"  ');

if($result->num_rows == 1 and $result1->num_rows == 1 ) {
  echo "Login erfolreich"; 
} else {
    echo "Falsches Passwort oder Nutzername";
}
$mysqli1->close();
}

Hab jetzt mysqli benutzt weil es irgendwie übersichtlicher ist, und ob das anfällig für Sql Injections oder so ist spielt eigentlich keine rolle erstmal. Manche stört das

...zur Frage

Wie kann ich am besten ein Buchungssystem programmieren (mit Datenbank), dass ich dann mit einer HTML Seite verknüpfen kann?

Hey,

Mein Kollege und ich haben ein Projekt, in welchem wir ein Webinterface (HTML) programmieren müssen, welches ein Buchungssystem beinhaltet. Dies mit mit einer Datenbank verknüpft werden und je nach Zeit wird diese Datenbank dann von einer SPS abgearbeitet.

Als Ansatz haben wir versucht einen RESTservice basierend auf Java zu programmieren und diesen mit unserer MySQL Datenbank zu verbinden. Die Verbindung zur Datenbank funktioniert leider nicht. Dieser RESTservice wäre dann auf einem TomCat Server von XAMPP vorläufig gelaufen. Leider sind unsere Programmierkenntnisse begrenzt.

Danke im Vorraus!

Mit freundlichen Grüßen, Smo

...zur Frage

Datenbanken Primärschlüssel, Superschlüssel und Schlüsselkandidat frage?

Das was ich verstanden habe ist das der Primärschlüssel eindeutig identifizierbar sein muss, das heißt die Datensätze können in diesem Schlüssel immer nur ein einziges mal auftauchen z.B. wie ID oder sowas. Der Schlüsselkandidat ist quasi wie der Primärschlüssel, da er auch eindeutig sein muss und der Superschlüssel ist eine Zusammensetzung aus mehreren relevanten Attributen und funktioniert auch nur so.

Wenn wir jetzt eine Datenbank modellieren mit der Relation keine Ahnung Vorlesung und den Attributen z.B. ID, Name, Vorname, Uhrzeit, Ort und Lehrer/Prof/Tutor etc.

Wären dann nicht der Primärschlüssel die ID, der Schlüsselkandidat auch die ID, weil es das einzige ist was eindeutig ist und der Superschlüssel einfach alle Attribute aufgelistet? weil die sind ja irgendwo alle relevant. Ich glaube eher ich verstehe da etwas gewaltig nicht, wo ist da der Unterschied zwischen Primärschlüssel und Schlüsselkandidat? Und was bringt mir der Superschlüssel und inwiefern unterscheide ich "relevante" Attribute?

...zur Frage

Was hat uns Cookie Consent jetzt genau gebracht?

Schön artig implementieren "alle" cookie consent und der User wird jezt schön damit genervt.
Aber was hat das gebracht? Man klickt doch eh nur noch auf "annehmen, annehmen, annehmen".
Dass Betreiber Cookies nutzen war auch vorher schon klar. Wer keine tracking Cookies haben will, löscht die halt regelmäßig.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen