[PHP&MySQL] 3 Dinge

R

Retep

Well-known member
ID: 102024
L
29 April 2006
378
4
Ich habe ein simples Login-Skript in PHP umgesetzt, meine Fragen dazu:

1.) Wie kann ich die Zeit einer jeden Session auf 60min begrenzen, bzw. wie erhält man einen Auto-Logout nach 60min?

2.) Wenn ich etwas mit einem Html-Formular einlese, wie kann ich umsetzen, dass evtl. vorhandender Html-Code oder sogar Skript-Sprache wie PHP nicht umgesetzt wird? (z.B. ein Gästebuch in dem man NUR Text haben möchte)

3.) Ich habe die Login-Daten (Username und Passwort) in einer MySQL-Datenbank abgespeichert. Die Passwörter sind beim Einloggen, Anmelden und auch in der Datenbank unverschlüsselt. Funktioniert so zwar theoretisch.. aber genügt das in Bezug auf Sicherheit? Kenne mich auf diesem Gebiet nicht aus.

***

Dies sind meine letzten Fragen vor der Umsetzung eines Projekts, ich wäre für Hilfe sehr dankbar. Gerne überweise ich Euch auch Lose, falls die Erklärungen sehr aufwendig sind (-->PN)
 
Retep schrieb:
1.) Wie kann ich die Zeit einer jeden Session auf 60min begrenzen, bzw. wie erhält man einen Auto-Logout nach 60min?
Zum Vergrößern anklicken....
SessionID im Cookie speichern, das nach 60 Minuten abläuft.

Retep schrieb:
2.) Wenn ich etwas mit einem Html-Formular einlese, wie kann ich umsetzen, dass evtl. vorhandender Html-Code oder sogar Skript-Sprache wie PHP nicht umgesetzt wird? (z.B. ein Gästebuch in dem man NUR Text haben möchte)
Zum Vergrößern anklicken....
:arrow: stripslahes()

Retep schrieb:
3.) Ich habe die Login-Daten (Username und Passwort) in einer MySQL-Datenbank abgespeichert. Die Passwörter sind beim Einloggen, Anmelden und auch in der Datenbank unverschlüsselt. Funktioniert so zwar theoretisch.. aber genügt das in Bezug auf Sicherheit?
Zum Vergrößern anklicken....
Nope. In der Datenbank sollten schon die Passwörter definitiv nicht im Klartext stehen. Hat man einmal durch irgendeinen unglücklichen Umstand Zugriff auf die DB, hat man sofort alle Zugangsdaten. Meistens werden die Passwörter mittels md5() gehasht, was schon eine gewisse Sicherheit bietet. Erhöhen kannst Du die Sicherheit, indem Du etwas Salz zum Passwort beim Hashen dazu gibst (google mal nach "md5 hash salt").
 
.

Erstmal danke für die Antworten zur 2. und 3. Frage, das bringt mich schon weiter.

tleilax schrieb:
SessionID im Cookie speichern, das nach 60 Minuten abläuft.
Zum Vergrößern anklicken....

Das hilft mir noch nicht so viel, hast Du einen Link dazu oder kannst näher darauf eingehen? Ich benutze session_start (); und habe mir mit Hilfe diverser Quellen aus dem Inet ein einfaches Login-Skript gebaut. Ich weiss nicht, ob ich bisher Cookies benutze.. geht das vielleicht auch anders?
 
tleilax meint du sollst die lebenszeit von den sessions auf 1 stunde setzen... dann läuft die session automatisch nach 1er stunde aus und du bist ausgeloggt. sollte das nicht möglich sein kannst du auch in der session ein timestamp mit der aktuellen zeit speichern den du bei jedem aufruf der seite aktuallisierst. vorher prüfst du aber ob der timestamp nicht schon älter als eine stunde ist... wenn doch loggst du den user aus.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben