PHP: passwort verbergen?

ich habe ein PHP-script wo ein passwort steht. kann ich davon vielleicht irgendwie eine hash erstellen und diese dann vom php-script nutzen lassen ? dass das nicht im klartext da steht.

5 Antworten

Tyldu

21.11.2019, 17:39

ja. passwörter sollten generell nur gehashed gespeichert werden und dann bei der passwortüberprüfung die beiden hashes überprüft werden.

normal stehen die passwörter dann natürlich in einer datenbank.

außerdem solltest du das passwort auch salzen. heißt du hängst an das passwort noch einen zufälligen string der im cleartext zusätzlich zum gehashten passwort gespeichert wird. bei der prüfung hängst du dann das "salz" wieder an das eigegebene password und vergleichst dann wieder beide hashwerte.

so wird verhindert dass oft genutzte passwörter direkt aus dem hashwert gelesen werden können da dieser bekannt ist. beispielsweise hat "test" einen md5 hashwert von 098f6bcd4621d373cade4e832627b4f6

sieht ein angreifer nun diesen hashwert in der datenbank weiß er dass das passwort test ist. hättest du allerdings "test9vASD" gehasht und dann 4bdcfd3c07e42918f4d9915c2cfb1816 und 9vASD gespeichert hättest du das ganze verhindert.

Woher ich das weiß:Studium / Ausbildung – Softwareentwickler, B. Sc. Informatik

Dory1

21.11.2019, 18:08

Deine Frage ist ungenau gestellt. Hier geht erst mal jeder davon aus, dass du ein Passwort validieren möchtest das von einem User eingegeben wird. Wenn du das Passwort im Skript stehen hast um bspw. zu einer Datenbank zu verbinden kannst du nichts verschlüsseln. Am sichersten ist es wenn du das Passwort in einer Datei ausserhalb des Document-Roots ablegst (also so, dass es von außen per Browser unerreichbar ist).

KarlRanseierIII

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

21.11.2019, 19:47

Okay, da es um die DB-Zugangsdaten geht:

Lagere sie in eien eigene Datei aus, die außerhalb des Webroot liegt, aber vom Webserver gelesen werden kann. So verhinderst Du schonmal effektiv, daß die Datei über einen direkten Request ausgeliefert werden kann.

Es würde übrigens auch nichts bringen das PW gehashed abzulegen, denn wenn ich die Credentials habe, kann ich mich eh damit anmelden, egal wie sie aussehen.

verreisterNutzer

21.11.2019, 17:43

$password = "hierDasPasswort";
$hash = password_hash($password, PASSWORD_DEFAULT);
//$hash ist nun der hash

Zum überprüfen, ob das Passwort richtig eingegeben wurde:

$password = "dasEingegebeneKennwort";
if(password_verify($password, $hash)) {
//das passwort ist richtig
} else {
//das passwort ist falsch
}

TimMagFussball

Fragesteller

21.11.2019, 17:44

nein das passwort im script!

<?php
$pdo=new PDO('mysql:host=localhost;dbname=db1','db1','PASSWORT_HIER', ...
?>

verreisterNutzer

21.11.2019, 17:47

@TimMagFussball

Was genau willst du?

Um dich mit einer Datenbank zu verbinden, musst du das Passwort nicht hashen.

TimMagFussball

Fragesteller

21.11.2019, 17:52

@verreisterNutzer

ich will das passwort was da steht nicht im klartext stehen haben

verreisterNutzer

21.11.2019, 17:53

@TimMagFussball

Und wieso? Du baust da doch nur die Verbindung zur Datenbank auf, oder?

TimMagFussball

Fragesteller

21.11.2019, 18:01

@verreisterNutzer

verreisterNutzer

21.11.2019, 18:16

@TimMagFussball

Dann musst du das Passwort auch nicht hashen?

PeterP58

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

21.11.2019, 17:37

ja! da gibt es verschiedene methoden ... gängig ist md5('passwort');

mach einfach mal ein echo md5('123456'); und schaue was dabei rauskommt :-)

Woher ich das weiß:Hobby – Programmierer, EDV, ... seit den 80er :)

TimMagFussball

Fragesteller

21.11.2019, 17:44

nein das passwort im script!

<?php
$pdo=new PDO('mysql:host=localhost;dbname=db1','db1','PASSWORT_HIER', ...
?>

PeterP58

21.11.2019, 17:45

@TimMagFussball

wofür soll das gut sein?

php-dateien kann man nur auslesen, wenn man direkten zugriff auf den server, bzw. die datei hat!

Ich muss auf einem Webspace ein PHP-Script ausführen, habe über den Browser jedoch nicht die nötige Berechtigung (Forbidden). Wie kann ich das Script durchlaufen lassen?

Nutze Windows und der Server läuft auf Linux.

...zur Frage

PHP Passwort Hash entschlüsseln?

Hallo,

aktuell erstelle ich einen eigenen Passwort Manager.

Ich habe alles soweit eingestellt und läuft soweit.

Nun ist mein Problem, dass ich gerne die Passwörter Verschlüsseln möchte.

Da bin ich dann auf diese Website gestoßen

https://www.php-einfach.de/experte/php-sicherheit/daten-sicher-speichern/php-passwort-sicherheit/

dort habe ich folgenden Text für meine Website verwendet.

$hash = password_hash($passwort, PASSWORD_DEFAULT);

Nun möchte ich den Text aber wieder entschlüsselt haben.

Wie kann ich das am besten machen?

...zur Frage

Wenn HTML-Button gedrückt wird PHP-Script ausführen?

Ich möchte, dass wenn ein Button in HTML gedrückt wir, ein PHP-Script ausgeführt wird. Ich habe im Internet folgendes gefunden:

<? php 
if(isset($_POST['sent'])){
	// ...
}
?>

<form method="post" action="script.php">
<input type="submit" name="sent" value="senden">
</form>

Das funktioniert aber irgendwie nicht. Man wird wenn man auf den Button drückt nur zum PHP-Script weitergeleitet. (Bin noch neu mit Php und so, also keine Ahnung woran es liegt.) Eigentlich sollte PHP aber im Hintergrund ausgeführt werden.

Hoffe auf Antworten,

-Bohne47

...zur Frage

Minecraft Server mit PHP starten?

Hey Leute,
da ich ein PHP fast Neuling bin , und ich grad an meine Grenzen stosse, Frage ich hier nach.

Mein plan war es, ein PHP Script zu erstellen, welches einen MC Server ausm Browser startet
leider funktioniert dieses nicht wie gewünscht (startet nich)

Folgendes Script:

<?php

echo "Aktuelles Verzeichnis:".;

echo getcwd() .'';

  echo "Neues Verzeichnis:".'';

chdir('/home/Lobby/');  echo getcwd().'';

echo exec('./start.sh');

?>

Die start.sh enthält Folgendes;

screen -mdS Freebuild java -Xmx1G -Xms1G -jar spigot-1.8.8.jar

Lösungen bitte so einfach wie möglich

zudem stellt sich mir die Frage wie ich das Ganze als Root ausführe damit die Prozesse auch vom Root user abrufbar sind

Danke für eure Mühe:

Fipsy

...zur Frage

PHP - seitenübergreifende Variablen?

Hallöle

ich muss ein PHP Programm schreiben und hab leider keine Ahnung davon :D gibt es bei PHP sowas wie globale Variablen bzw kann ich variablen von einen Script zum nächsten irgendwie übergeben ?

und eine 2.Frage noch: Ich möchte Link zu verschiedenen Sachen erstellen zB zu Äpfeln, Birnen, Tomaten usw. Wenn man auf den jeweiligen Link click soll nur eine Seite erscheinen mit Ja ist verfügbar,bzw Nein ist nicht verfügbar. also ich möchte keine direkte Seite Apfel.php sondern viel mehr auf eine andere Seite mit Ist_verfügbar.php umleiten.

um das ganze mal verständlich zu machen der Benutzer clickt zwar auf einen Link zur Seite Apfel.php kommt aber bei IST_verfügbar.php raus. Geht sowas ?

danke

...zur Frage

PDF's mit PHP erstellen?

Guten Tag,

was ist die beste Möglichkeit, eine an die Daten vom Nutzer angepasste PDF zu erstellen, zum Beispiel nachdem etwas gekauft wurde (automatisch)?

Gibt es da eine Sprache mit der das "am besten" geht oder ein Tool?

...zur Frage

php-script für Öffnungszeiten?

Hallo,

ich möchte gerne ein php script erstellen womit die aktuellen Öffnungszeiten des Parks angezeigt werden. Allerdings gehen meine Öffnungszeiten nicht nach Wochentag, sondern nach Datum. So habe ich zum Beispiel von 17 März - 19 April von 16 - 20 Uhr geöffnet, vom 20 April bis 16 August von 14 - 20 Uhr und vom 17 August bis 16 März von 17 - 20 Uhr. Kann man dafür ein script erstellen damit es immer die aktuellen Öffnungszeiten anzeigt?

Viele Grüße

Niklas

...zur Frage

Mit einem PHP-Script ein Video speichern?

Hallo zusammen,

ich möchte folgendes erstellen:

Eine Seite, wo der Nutzer ein Video aus seinen eigenen Dateien hochladen kann und dann "speichern" kann.

Nur dazu brauche ich ein PHP-Script, welches das Video in einem separaten Ordner speichert und ich bin kein Profi in PHP, also hoffe ich, dass jemand eine Antwort für mich hat.

Danke im Voraus! :)

...zur Frage

Php passwort verschlüsseln?

Hab mir ein Video angesehen das schon von 2016 ist und der Youtuber meinte selber das es eine bessere Methode geben kann als sha512.

$passwort = "einwichtigespasswort";
echo  hash("sha512", $passwort);

Was ist das aktuellste heutzutage ?

...zur Frage

php-script für Datum und Öffnungszeiten?

Hallo,

ich möchte gerne ein php script erstellen womit die aktuellen Öffnungszeiten des Parks angezeigt werden. So soll der Code ungefähr so aussehen:

Heute ist Donnerstag, der 21. Mai 2020.
Der Park hat heute von 9 - 18 Uhr geöffnet
und schließt in 2 Stunden / hat leider bereits geschlossen.

So möchte ich gerne in einem php-script gerne die Öffnungszeiten hinterlegen sowie das aktuelle Datum. Hinzu soll es automatisch anzeigen wann der Park schließt, bzw. wenn er bereits geschlossen hat soll er den Text "hat leider bereits geschlossen" anzeige. Kann man sowas umsetzen?

Viele Grüße

Niklas

...zur Frage

PHP und SQL passwort sha1 verschlüsseln und in datenbank vergleichen?

Hallo liebe Menschen,

ich muss für eine Aufgabe ein passwort in sha1 generieren und dann, das passwort mit dem hash aus der datenbank vergleichen aber ich weiß nicht wie. Also man soll in einer Login Seite das Passwort (kein neu generiertes passwort sondern ein vorher erstelltes) eingeben und mit einem Button (senden) das Passwort mit der Datenbank "benutzer" vergleichen ob nutzername und Passwort (hash (sha1)) übereinstimmen.

Ich bin ein richtiger anfänger was PHP angeht, ich habe es erst seit letzter woche kennengelernt und jetzt soll ich für ein test eine solche aufgabe machen. Ich habe min. 1 tag lang gegooglet wie man es machen könnte aber jeder schreibt nur "tu es nicht, es ist nicht sicher und dann kommen die mit den neuen php tag mit dem man ein passwort sehr gut verschlüsselt.

Danke im Voraus

...zur Frage

Kann man Benutzernamen und Passwort von einer Anmeldeseite zu einer anderen Seite in Form eines Linkes übergeben?

Hallo,

ist es sicher wenn man Benutzernamen und Passwort in Form eines Hashes einer anderen Seite über den Link übergibt?

also: man hat eine Seite "index.html", und dann noch die Seite "anmelden.html". Kann ich dann Benutzernamen und Passwort in Form eines Hashes der Seite "index.html" über den Link übergeben? Und wenn man das nicht tun sollte: Was wäre die Alternative? Zur Info: Ich nutze NUR Html, css und Javascript; php kann ich nicht so gut.

...zur Frage

Wie kann man mit PHP Bilder anzeigen lassen?

Ich verwendete in dem Script (php datei [index.php] ) für meine Website den Befehl:

<?php echo '<img src= "/db/pics/bild.jpg">'; ?>

Mit diesem wird aber nur das Simbol für ein Bild ausgegeben und nicht das Bild selbst. Wenn ich das Format der Datei allerdings in "HTML" ändere, werden die Bilder wieder angezeigt und ich verstehe nicht warum es mit PHP nicht geht. PHP wollte ich übrigens wegen des include Befehls nutzen um die index Datei aufzusplitten. Sitze nun schon seit 4 1/2 Stunden an diesem Problem....(Ja auch mit Google.)

Ich danke schon mal vielmals für die Hilfe!!!

...zur Frage

Woher wissen Webseiten ob ein Passwort zu ähnlich zu dem vorherigen ist (Hash)?

Möchte man bei einigen Accounts oder Webseiten sein Passwort ändern erscheint manchmal die Meldung, dass das Passwort zu viele Ähnlichkeiten mit dem vorherigen Passwort besitzt.

Soweit ich weiß werden Passwörter zur Sicherheit in Datenbanken als Hashwerte gespeichert.

Bei einem Hash-Algorithmus ändert sich der vollständige Hashwert schon bei kleinen Veränderungen am Passwort.

Woher wissen diese Services, dass das Passwort starke Ähnlichkeit mit dem vorherigen Passwort hat? Ist bei so einer Meldung davon auszugehen, dass die Passwörter in Klartext gespeichert werden?

Viele Grüße

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen