Zum Inhalt springen

PHP : md5()

oneside
 Teilen

Empfohlene Beiträge

oneside

oneside

Geschrieben
Geschrieben

Hallo Fi´s!

Ich habe folgendes Verständnissproblem:

Ich habe eine Seite, auf der ein User sich in eine DB mit Passwort/Name eintragen kann. Sobald der User auf einen Button klickt, wird eine andere Seite geladen und die Daten per <Form> übergeben.

Diese neue Seite trägt das Passwort/Name in die DB ein.

Jetzt erste Frage hierzu:

Ist das nicht schon ein Sicherheitsrisiko, da das Passwort unverschlüsselt an die Seite, die die Daten in die DB schreibt übermittelt wird?

Wenn sich der User dann über sein Passwort/Name anmelden will, gibt er die Daten wieder in das Formular ein. Dieses wird wieder an eine andere Seite geschickt und die lädt die Daten aus der DB und vergleiche dann das eingegebene Passwort mit dem in der DB gespeicherten.

Jetzt meine Denklücke....

Ich möchte dass Passwort verschlüsseln. Um dies aber zu tun, müssen die Daten des Users ja erst mal von der Seite mit den Eingabefeldern zu einer anderen Seite geschickt werden. Das ist doch dann schon eine Sicherheitslücke oder sehe ich das falsch? Diese Seite würde dann das gespeicherte Passwort aus der DB laden und mit dem eingegebenen überprüfen. Dann bräuchte ich die doch aber nicht mehr verschlüsseln, da ich diese auch gleich vergleichen könnte.

Kann mir das mal jemand erklären? Ist die Verschlüsselung nur sinnvoll, wenn das Passwort über mehrere Seiten oder per Link in der Adressleiste übertragen wird?

Danke!!!!

Link zu diesem Kommentar
Auf anderen Seiten teilen
Jaraz

Jaraz

Geschrieben
Geschrieben
Jetzt meine Denklücke....

Ich möchte dass Passwort verschlüsseln. Um dies aber zu tun, müssen die Daten des Users ja erst mal von der Seite mit den Eingabefeldern zu einer anderen Seite geschickt werden. Das ist doch dann schon eine Sicherheitslücke oder sehe ich das falsch?

Ja, das ist eine Sicherheitslücke die du nur durch den Einsatz von SSL schließen kannst.

Diese Seite würde dann das gespeicherte Passwort aus der DB laden und mit dem eingegebenen überprüfen. Dann bräuchte ich die doch aber nicht mehr verschlüsseln, da ich diese auch gleich vergleichen könnte.

Passwörter werden in der Datenbank md5 verschlüsselt, damit Sie niemand der deine Anwendung hackt und Zugriff auf deine Datenbank bekommt auslesen kann.

Also sichere Übertragung = SSL

Sichere Speicherung = MD5

Gruß Jaraz

PS: Passwörter gehören NIEMALS in die URL

Link zu diesem Kommentar
Auf anderen Seiten teilen
oneside

oneside

Geschrieben
  • Autor
Geschrieben
Ja, das ist eine Sicherheitslücke die du nur durch den Einsatz von SSL schließen kannst.

Passwörter werden in der Datenbank md5 verschlüsselt, damit Sie niemand der deine Anwendung hackt und Zugriff auf deine Datenbank bekommt auslesen kann.

Also sichere Übertragung = SSL

Sichere Speicherung = MD5

Gruß Jaraz

Ok, vielen Dank schonmal!

Wenn ich das Passwort md5 verschlüsselt in der DB ablege ergibt sich aber folgendes Problem. Wie löse ich das, wenn z.B. der User sein Passwort vergessen hat und ich ihm dieses wieder schicken möchte. Dann habe ich ja nur das verschlüsselte Passwort und kann ihm dann nicht das unverschlüsselte schicken :confused:

Link zu diesem Kommentar
Auf anderen Seiten teilen
Jaraz

Jaraz

Geschrieben
Geschrieben
Ok, vielen Dank schonmal!

Wenn ich das Passwort md5 verschlüsselt in der DB ablege ergibt sich aber folgendes Problem. Wie löse ich das, wenn z.B. der User sein Passwort vergessen hat und ich ihm dieses wieder schicken möchte. Dann habe ich ja nur das verschlüsselte Passwort und kann ihm dann nicht das unverschlüsselte schicken :confused:

Du generierst ein neues Passwort und speicherst es verschlüsselt in die Datenbank und schickst ihm das neue zu.

Außerdem solltest du eine Möglichkeit schaffen das der User das zugeschickte Passwort ändern kann.

Gruß Jaraz

Link zu diesem Kommentar
Auf anderen Seiten teilen
oneside

oneside

Geschrieben
  • Autor
Geschrieben
Du generierst ein neues Passwort und speicherst es verschlüsselt in die Datenbank und schickst ihm das neue zu.

Außerdem solltest du eine Möglichkeit schaffen das der User das zugeschickte Passwort ändern kann.

Gruß Jaraz

Das ist natürlich eine Idee...

So werde ich das dann machen. Eine Möglichkeit zum Ändern des Passwortes wird natürlich auch eingebaut werden. Vielen Dank für die schnelle und professionelle Hilfe :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...