![[HaBo]](/styles/default/logoklein.png){kind=small}
Guten Tag allerseits
Ich bin dabei mir ein kleines CMS zusammenzuzimmern.
Ich werde, sobald es fertig ist, die komplette Seite (bis aufs Design) zur Verfügung stellen, da ich denke dass Anfänger einiges lernen können bezüglich validem css/html und etwas php.
Letzteres, ich habe da nen login.
-> http://word.activebox.ch/index.php?site=admin
Wenn Passwort (md5 verschlüsst in ner mysql Datenbank) und Usernamen (auch in DB, unverschlüsselt, wieso auch) zusammen (in einem Datensatz) in der Datenbank vorhanden sind wird die IP der laufenden Session (wird gestartet soblad jemand die index.php aufruft) mit dem User der sich eingeloggt hat abgeglichen (muss ja, wenns mit rechten Dingen zugeht die gleich sein) und in die vorher gestartet session wird der Username und der Userrang geschrieben, was dann zu einer erweiterten navigation führt, wo man zB. Beiträge schreiben können wird.
Ich sehe momentan nur zwei Möglichkeiten "einzudringen":
1. darin dass irgendjemand sein Passwort weitergibt, was man nicht verhindern kann, oder
2. man brutet den FTP zugang, schaut sich die php files an, und schreibt ein kleines progrämmlein dass nen User + PW in die Datenbank schreibt.
Die MySQL zugansdaten sind übrigens in ner mysql.inc.php und können nicht "einfach so" geöffnet werden.
Ist das Sicher?
Zum FTP bruten kann ich nicht viel Beitragen, da ich keinen eigengen Server habe.
Der Host wird wahrscheinlich schon Vorkerungen getroffen haben, und da das bruten per FTP relativ langsam geht, und ich ngescheites pw+user habe wird das ein paar hundert Jahre gehen. (denk ich mal)
Aus meine Netzwerk werde ich nicht angegriffen. (sniffen & co)
Ich bin dabei mir ein kleines CMS zusammenzuzimmern.
Ich werde, sobald es fertig ist, die komplette Seite (bis aufs Design) zur Verfügung stellen, da ich denke dass Anfänger einiges lernen können bezüglich validem css/html und etwas php.
Letzteres, ich habe da nen login.
-> http://word.activebox.ch/index.php?site=admin
Wenn Passwort (md5 verschlüsst in ner mysql Datenbank) und Usernamen (auch in DB, unverschlüsselt, wieso auch) zusammen (in einem Datensatz) in der Datenbank vorhanden sind wird die IP der laufenden Session (wird gestartet soblad jemand die index.php aufruft) mit dem User der sich eingeloggt hat abgeglichen (muss ja, wenns mit rechten Dingen zugeht die gleich sein) und in die vorher gestartet session wird der Username und der Userrang geschrieben, was dann zu einer erweiterten navigation führt, wo man zB. Beiträge schreiben können wird.
Ich sehe momentan nur zwei Möglichkeiten "einzudringen":
1. darin dass irgendjemand sein Passwort weitergibt, was man nicht verhindern kann, oder
2. man brutet den FTP zugang, schaut sich die php files an, und schreibt ein kleines progrämmlein dass nen User + PW in die Datenbank schreibt.
Die MySQL zugansdaten sind übrigens in ner mysql.inc.php und können nicht "einfach so" geöffnet werden.
Ist das Sicher?
Zum FTP bruten kann ich nicht viel Beitragen, da ich keinen eigengen Server habe.
Der Host wird wahrscheinlich schon Vorkerungen getroffen haben, und da das bruten per FTP relativ langsam geht, und ich ngescheites pw+user habe wird das ein paar hundert Jahre gehen. (denk ich mal)
Aus meine Netzwerk werde ich nicht angegriffen. (sniffen & co)
