Hallo,
ich würde gerne in einem auf PHP/MySQL basierenden CMS eine Anmelde-Möglichkeit für Kunden vorsehen, um Informationen von einer externen Domain abzurufen und diese dann auf meiner Seite eingebunden darzustellen. Sowohl meine Seite als auch die Kunden sind bei der externen Domain mit Benutzer-Name und Kennwort registriert. In dem CMS soll auf jeder Seite ein Formular angezeigt werden, in welches der Kunde seinen Benutzernamen und sein Passwort eingeben kann. Mit einem PHP-Skript werden dann mit diesen Benutzer-Eingaben sowie meinen Registrierungs-Daten die Informationen von der externen Domain abgerufen:
"seitenName" ist die Kennung, mit der ich bei der externen Domain registriert bin und die meine Seite dazu berechtigt, Inhalte von der externen Domain für registrierte Benutzer abzurufen und auf meiner Seite einzubinden.
"seitenPasswort" ist das zu meiner Kennung gehörende Passwort.
"benutzerName" und "benutzerPasswort" sind, wie der Name schon sagt, die Benutzer-Eingaben im Formular.
$this->externeInformationen beinhaltet dann die Informationen von der externen Domain.
Auf die externe Domain habe ich abgesehen vom Laden der Inhalte per URL keinen Zugriff, ich bin dort lediglich mit meiner Seite registriert und dazu berechtigt, für registrierte Kunden Informationen abzurufen und auf meiner Seite einzubinden. Mich interessiert jetzt, ob diese Vorgehensweise unsicher ist und wenn ja, wie mögliche Angriffe aussehen könnten? Dabei interessiert mich in erster Linie die Sicherheit des von mir einzurichtenden CMS, weil die externe Seite mir diese Vorgehensweise quasi vorschreibt. Ich möchte bei meinen Betrachtungen zunächst von ungefilterten Benutzer-Eingaben im Formular ausgehen.
Frohe Weihnachten,
DerKreuzer
Edit: PHP-Code ergänzt
ich würde gerne in einem auf PHP/MySQL basierenden CMS eine Anmelde-Möglichkeit für Kunden vorsehen, um Informationen von einer externen Domain abzurufen und diese dann auf meiner Seite eingebunden darzustellen. Sowohl meine Seite als auch die Kunden sind bei der externen Domain mit Benutzer-Name und Kennwort registriert. In dem CMS soll auf jeder Seite ein Formular angezeigt werden, in welches der Kunde seinen Benutzernamen und sein Passwort eingeben kann. Mit einem PHP-Skript werden dann mit diesen Benutzer-Eingaben sowie meinen Registrierungs-Daten die Informationen von der externen Domain abgerufen:
PHP:
$this->externeAdresse = 'https://www.***.de/login.php?seitenName=***&seitenPasswort=***'.'&benutzerName='.$this->benutzerName.'&benutzerPasswort='.$this->benutzerPasswort;
$this->externeInformationen = simplexml_load_file($this->externeAdresse);
"seitenPasswort" ist das zu meiner Kennung gehörende Passwort.
"benutzerName" und "benutzerPasswort" sind, wie der Name schon sagt, die Benutzer-Eingaben im Formular.
$this->externeInformationen beinhaltet dann die Informationen von der externen Domain.
Auf die externe Domain habe ich abgesehen vom Laden der Inhalte per URL keinen Zugriff, ich bin dort lediglich mit meiner Seite registriert und dazu berechtigt, für registrierte Kunden Informationen abzurufen und auf meiner Seite einzubinden. Mich interessiert jetzt, ob diese Vorgehensweise unsicher ist und wenn ja, wie mögliche Angriffe aussehen könnten? Dabei interessiert mich in erster Linie die Sicherheit des von mir einzurichtenden CMS, weil die externe Seite mir diese Vorgehensweise quasi vorschreibt. Ich möchte bei meinen Betrachtungen zunächst von ungefilterten Benutzer-Eingaben im Formular ausgehen.
Frohe Weihnachten,
DerKreuzer
Edit: PHP-Code ergänzt
Zuletzt bearbeitet: