wie kann man eine login-page sicher machen?

ich versuche eine website zu machen und die hat auch eine login page aber man kann die login felder leer lassen und mankann sich trotzdem anmelden. Wie kann ich das so machen das man eine echte email und passwort eingeben muss um sich anmelden können zu müssen und das auch mit einem log-out button.

2 Antworten

Vom Fragesteller als hilfreich ausgezeichnet

regex9

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

HTML, Webseite, CSS

21.04.2022, 23:19

Der erste Schritt wäre der, dass du die Daten des Formulars an deinen Webserver schickst und dort mit einem Programm prüfen lässt. Mit welcher Programmiersprache du das Programm schreiben kannst (sei es PHP, JavaScript, Python, Ruby, o.ä.), hängt davon ab, mit welchem Webserver / welchen Backendtechnologien du arbeitest.

Programmierkenntnisse sind also vonnöten sowie etwas Recherche, was du für deinen Fall nutzen kannst.

Im Folgenden ein einfach gehaltenes Beispiel mit PHP:

<!doctype html>
<head>
  <title>Example</title>
  <meta charset="utf-8">
</head>
<form action="/logincheck.php" method="post">
  <label for="email">Username:</label>
  <input id="email" name="email" type="email">

  <label for="password">Password:</label>
  <input id="password" name="password">

  <input type="submit">
</form>

würde die eingetragenen Daten als Querystring email=...&password=... an die URL https://website-domain/logincheck.php verschicken. In diesem Skript könnte man die Daten nun entgegennehmen und prüfen:

<?php
  if (empty($_POST['email']) || empty($_POST['password'])) {
    header('Location: loginpage.php');
    exit;
  }

  $userPassword = get_user_password_by_mail($_POST['email']);
  
  if (empty($userPassword)) {
    header('Location: loginpage.php');
    exit;
  }

  if (password_verify($_POST['password'], $userPassword)) {
    session_start();
    $_SESSION['user'] = filter_var($_POST['email'], FILTER_SANITIZE_EMAIL);
    header('Location: loginarea.php');
  }
  else {
    header('Location: loginpage.php');
  }

Zuerst wird geprüft, ob Daten empfangen wurden. Wenn ja, muss geprüft werden, ob es den angegebenen Nutzer gibt und welches Passwort er hat. Dies würde in diesem Skript die fiktive Funktion get_user_password_by_mail übernehmen. Sie sollte entweder false/einen leeren String bei Misserfolg liefern oder einen Hash.

Speichere Passwörter nie im Klartext. Erstelle stattdessen einen gesalzenen Hash (mit Algorithmen wie bcrypt oder PBKDF2) und speichere diesen. Bei Login wird das gegebene Passwort auf die gleiche Weise in einen Hash konvertiert, danach werden beide Hashes verglichen. Sind sie gleich, wurde das korrekte Passwort angegeben.

Die meisten Webtechnologien verfügen bereits über entsprechende Funktionen zum Erstellen von Hashes. In PHP sind die Funktionen password_hash und password_verify nützlich.

Wenn der Login erfolgreich war, wird eine Session erstellt und in ihr ein Wert hinterlegt, sodass auf Folgeseiten eine Prüfung möglich ist, ob der Nutzer angemeldet ist oder nicht.

<?php
  session_start();

  if (empty($_SESSION['user'])) {
    header('Location: loginpage.php');
    exit;
  }
?>
<!-- html ... -->

Vergiss bei all dem nie, dass Daten, die von außen in dein Programm hineingegeben wurden (in diesem Fall also Nutzername und Passwort), nie zu trauen ist. Filtere/Validiere sie, bevor du sie nutzt/evaluierst (auch dafür gibt es in der Regel schon Funktionen, an die du die Daten lediglich weitergeben musst). Verwende in Kombination mit einer Datenbank bspw. Prepared Statements.

Im Anschluss könnte man weitere Sicherheits- und Komfortmaßnahmen rund um das Formular und Skript ergänzen. Zum Beispiel könnte man Fehlermeldungen implementieren, ein Captcha hinzufügen, usw.. Ein paar Maßnahmen habe ich im unteren Teil dieser Antwort schon einmal aufgezählt.

Y4w12

08.07.2022, 19:26

In deinem HTML Dokument setzt du unter dem form Element noch ein "required". Dadurch musst du das Feld ausfüllen. Falls der user trotzdem submitted prompted der Browser, dass man die Felder ausfüllen muss.

Vielleicht hilft dir das hier weiter : https://www.w3schools.com/php/php_form_required.asp.

Ähnliche Fragen

Moin Leute,

Ich möchte auf meiner Website eine Login Page errichten, bei der man sich mit einem Passwort einloggen kann.

Während des Logins sollte wenn möglich die restliche Website unscharf sein.

Danke für die Hilfe

...zur Frage

HTML code geht Button nicht?

Ich hab gerade ein Login feld mit HTML und ich will nachdem man weiter gedrückt hat das das fenster weg geht, wie kann ich das coden?

...zur Frage

Ich habe ein Login gebaut. Jenen sollen wir nun ausschließlich mit AJAX verbessern. (Wir dürfen dabei nicht sowas wie JQUERY verwenden. Das wissen fehlt uns aber dafür an meisten. Vielleicht kann jemand mir dabei helfen mein Login umzubauen und zu verstehen was ich mache.

Mein Login-Quelltext:

<?php
$pdo = new PDO('mysql:host=localhost;dbname=phptest', 'root', '');

if(isset($_GET['login'])) {
  $email = $_POST['Email'];
  $passwort = $_POST['Passwort'];

  $statement = $pdo->prepare("SELECT * FROM login WHERE Email = :Email");
  $result = $statement->execute(array('Email' => $email));
  $user = $statement->fetch();

  //Überprüfung des Passworts
  if ($user !== false && password_verify($passwort, $user['Passwort'])) {
    $_SESSION['userid'] = $user['ID'];
    die('Login erfolgreich. Weiter zu <a href="index.php?site=Startseite">internen Bereich</a>');
  } else {
    $errorMessage = "E-Mail oder Passwort war ungültig<br>";
  }

}
?>
<!DOCTYPE html>
<html>
<head>
  <title>Login</title>
</head>
<body>

<?php
if(isset($errorMessage)) {
  echo $errorMessage;
}
?>

<form action="Loginseite.php?login=1" method="post">
  E-Mail:<br>
  <input type="email" size="40" maxlength="250" name="Email" required><br><br>

  Dein Passwort:<br>
  <input type="password" size="40" maxlength="250" name="Passwort" required><br>

  <input type="submit" value="Login">
</form>
</body>
</html>

...zur Frage

Wie kann ich eine HTML und JavaScript Login-Funktion mit nur einer Passwortmöglichkeit machen?

Ich will eine Login-Funktion für eine eigene Internetseite machen, wobei nur mein eigenes Passwort funktionieren soll. Es kommt aber immer die Meldung, dass das Passwort falsch sei.

Das ist mein Code:

<!DOCTYPE html>
<html>
  <head>
    <link rel="stylesheet" href="style.css" type="text/css">
    <title>Seitenname | Login</title>
    <meta charset ="utf-8">
  </head>
  <body>
    <div id="wrapper">
      <header><img src="bilder/Logo.jpg" alt="Logo"></header>
      <sectionAnmeldung>
        <div class="Anmelden">
          <h1>Anmelden</h1>
          <a>Passwort:</a>
          <input type="password" name="myPw" placeholder="Password" />
          <script>
            function pwRichtig() {
              var x = document.getElementsByName("myPw").value;
              var pw = "password123";

              if (x == pw) {
                document.open("hauptseite.html");
              }
              else {
                alert("Falsches Passwort!");
              }
            }
          </script>
          <input type="submit" name="" value="Einloggen" onclick="pwRichtig()" required />
        </div>
      </sectionAnmeldung>
    </div>
  </body>
</html>

...zur Frage

Moin Leute,

Ich hab eine Domain über die ich einige Websites Laufen lasse. z.B. fritzbox.domain.de, gameserver.domain.de, proxy.domain.de

Das Ganze Läuft über eine Nginx Proxy und dann durch die Cloudflare Proxy.

Nur frage ich mich jetzt ob es irgendwie möglich ist dass ich eine Website mit einem Login Feld so vorschalten kann dass man nur mit z.B. der Benutzeroberfläche meiner Fritzbox verbunden wird, wenn man den Richtigen Login hat.

Weil meine Sorge ist dass unberechtigte auf meine Fritzbox kommen und den Login knacken und dann irgendeinen Unfug anstellen.

Wie wäre das zu Machen?

Schonmal danke für euere Hilfe.

...zur Frage

Wie Iframe identifizieren?

Hallo,

ich würde gerne mit Python Selenium auf web.de gehen und mich dort dann anmelden. Der Basis Code sieht bisher so aus:

from selenium import webdriver
import time
driver = webdriver.Chrome('C:/Users/.../Desktop/Python/chromedriver.exe')
driver.maximize_window()
driver.get('https://www.web.de/')

Das Problem dabei ist jetzt, dass das hier aufgeht: https://web.de/consent-management/ . Jetzt frage ich mich zunächst einmal, weshalb das jedes mal aufgeht, wenn ich den Code ausführe, aber nur ein einziges mal erschien, als ich das erste mal mit dem Gerät auf web.de war?!

Als nächstes wollte ich dann einfach den Button "Zustimmen und weiter" klicken lassen. Den Button habe ich durch:

button = driver.find_element_by_xpath('//button[text()=" Zustimmen und weiter "]')

gespeichert. .click() löst aber nichts aus. Jetzt habe ich gesehen, dass sich der button innerhalb eines iframes befindet. Die class des iframes lautet: 'permission-core-iframe' , innerhalb befindet sich dann noch mal ein iframe aber ohne id und class. Darin findet man dann zwei button unter anderem den für "Zustimmen". Wie komme ich denn jetzt zum eigentl. Login?

...zur Frage

Warum kann ich mich auf minecraft.net nicht mehr einloggen?

Ich würde gerne meinen Minecraftskin ändern. Das geht aber nicht, weil ich mich bei minecraft.net nicht anmelden kann. Der Log in bzw. Sign Up button ist weg und minecraft.net/login führt mich auf eine leere Minecraftseite. Wisst ihr warum?

...zur Frage

Was ist besser?

Hallo, Ich versuche eine website zu machen: "https://thedarkonion.github.io/MyDrugs-2.0/index.html"

es geht um eine website für unterhaltung sie ist eine fan recreate von mydrugs.to (eine netflix serie) und es gibt mehrere seiten Die haupt page (Homepage, startseite) wo es einen button gibt "SHOP NOW" die zur anderen seite hinleitet zur shopseite (kein echter shop nur aus spass) aber wichtig jetzt ist die homepage oder startseite nähmlich der button nimmt mehr platz ein wie er eigentlich sollte Wenn ihr wollt könnt ihr aml auf die seite oben gehen das ist meine seite die ich meine. Der button ist in der mitte wenn man auf die seite geht sollte man es sehen. Und wenn man oben in der ecke Oder über den button (alle bereiche neben/unten/über/in der nähe) von den button ist kann man drauf klicken und man wird ungewollt weitergeleitet zu der website. Ich habe eine lösung gefunden Aller dings ist dann der button nicht mehr in der mitte sondern an der seite:

In der ecke der "SHOP NOW" button. Und da ist der button genau richtig ohne das man ungewollt weitergeleitet wird aber Normal ist es so:

der "SHOP NOW" button ist in der mitte was auch gut aussieht aber das problem ist: man kann in den angezeigten bereichen ausversehen weitergeleitet werden:

Also was ist besser?

...zur Frage

löschen von E-mail Adressen bei Google Chrom

Hallo, ich habe mir neulich Google Chrome runtergeladen. Als ich mich dann bei Facebook anmelden wollte ist mir was dummes passiert, ich habe nähmlich mein Passwort hinter meiner Email Adresse eingeben weil ich vergessen habe zu dem Feld "Passwort" zu gehen. Jetzt hat Chrom meine Email Adresse (mein Passwort natürlich auch) gespeichert und alle die sich an meinem Laptop bei Facebook anmelden wollen, können mein Passwort sehen. Kann mir vielleicht jemand sagen wie ich die Email Adressen löschen kann? Danke :)

...zur Frage

Registrierung/Anmeldung bei HTML/CSS Website?

Wie kann ich bei HTML/CSS eine Registrierung/Anmeldung programmieren? Wo man zum Beispiel seine Email und ein Passwort eingibt und dann auf eine andere Seite kommt. Ohne Anmeldung soll man nicht auf diese Seite kommen.

...zur Frage

NGINX | PHP Website lädt sich runter und öffnet sich nicht?

Hallo, wie oben beschrieben, immer wenn ich auf meine Passwort gesicherte Seite öffne die mit Nginx läuft und index.html ist kann ich sie öffnen, aber wenn ich oben im reiter bei der Seite auf "Forum" gehe die mich auf page/forum/index.php weiterleitet wird sie nur Runtergeladen und nicht geöffnent.

Ich habe eine andere Seite wo ich den selben Code bei NGINX für PHP verwende, aber OHNE auth_basic, und die geht ohne Probleme.

Bei den Logs für Nginx sehe ich keine Probleme.

server {
    listen 443 ssl;
    server_name login.domain.de;
    root /var/www/html_domain/projek/login;
    ssl_certificate /etc/letsencrypt/live/domain.de/fullchain.pem; 
    ssl_certificate_key /etc/letsencrypt/live/domain.de/privkey.pem;
    index index.html index.htm index.php;
    
    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/run/php/php7.3-fpm.sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }

    location ^~ /account/user2/ {
        auth_basic "user2";
        auth_basic_user_file /etc/nginx/login/.user2;
        try_files $uri $uri/ =404;
    }
    
    location ^~ /account/user/ {
        auth_basic "user";
        auth_basic_user_file /etc/nginx/login/.user;
        try_files $uri $uri/ =404; 
  }
}

...zur Frage

Element-Inhalt abrufen?

Ich programmiere seit einiger Zeit mit HTML CSS und JS und habe mit Getboostrap eine Website erstmals geschrieben, wo mein Ziel es war dass man dort einen Key eingeben kann womit man dann auf eine weitere HTML Datei umgeleitet wird die den Namen hat. Damit meine ich das wenn man als Key hallo123 eingibt das man auf die Seite Hallo.html umgeleitet wird. Ist zwar nicht gerade so sicher aber es reicht für den Start aus. Ich habe jetzt aber das Problem das ich bei "document.getElementById()" nicht dem Inhalt aus dem Eingabe Feld erhalte wodurch man egal was man eingibt zu null.html umgeleitet wird. Weiß jemand wie ich das Behebe?

<!doctype html>
<html lang="en">


<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <title>Mit Projekt-Key herunterladen | LSprojects</title>
    <link href="https://cdn.jsdelivr.net/npm/bootstrap@5.3.0-alpha1/dist/css/bootstrap.min.css" rel="stylesheet"
        integrity="sha384-GLhlTQ8iRABdZLl6O3oVMWSktQOp6b7In1Zl3/Jr59b6EGGoI1aFkw7cmDA6j6gD" crossorigin="anonymous">
</head>
<style>
body {
    background-color: rgb(26, 24, 24);
    color: white;
}
.btn  {
    background-color: rgb(161, 156, 156);
    color: white;
}
</style>
<script>
    function submit() {
        let code = document.getElementById(codeinput);
        window.location = "/codes/" + code + ".html"
    }
</script>


<body>
    <div class="vertical-center horizontal-center">
        <h1>Geben sie den Key hier ein:</h1>
        <div class="input-group mb-3 dark-backround">
            <button href="submit()" onclick="submit()" class="btn btn-outline-secondary" type="button"
                id="load">Laden</button>
            <input type="text" class="form-control" placeholder="Projekt-Key" id="codeinput" aria-label=""
                aria-describedby="load">
        </div>
    </div>
    <script src="https://cdn.jsdelivr.net/npm/bootstrap@5.3.0-alpha1/dist/js/bootstrap.bundle.min.js"
        integrity="sha384-w76AqPfDkMBDXo30jS1Sgez6pr3x5MlQ1ZAGC+nuZB+EYdgRZgiwxhTBTkF7CXvN"
        crossorigin="anonymous"></script>
</body>


</html>

...zur Frage

Mit Input Element rechnen (JavaScript)?

Ich fange gerade an, programmieren zu lernen (HTML, Js, CSS) und bin gerade dabei eine Website zu coden, die Meilen in Kilometer umrechnet. Man gibt beim Input Feld die Meilen ein und wenn man den Button Convert drückt sollen diese in Kilometern angegeben werden. Bei der Js Funktion mit dem Button kommt allerdings immer NaN (Not a Number) heraus, wenn ich mit dem Eingegeben weiterrechnen möchte. Wisst ihr wie man den String von der Eingabe zu einem Zahlenwert machen kann, sodass die Funktion damit weiterrechnen kann? Danke

...zur Frage

Verstehe nicht, warum es falsch ist?

// loggen der Variabeln-Name für den Login-Button //

let loggen = document.getElementById("login");


loggen.addEventListener("click", function() {
  
// eingabeFeld ist der Name für das Inputfeld //  
let eingabeFeld = document.getElementById("field");

eingabeFeld.value;
if (eingabeFeld.includes("huso1234")) {
alert("Ja, das Passwort ist richtig");
}
else {
    alert("Das Passwort ist falsch");
}
eingabeFeld.textContent = "";
});

Funktioniert halt einfach nicht. Es handelt sich hierbei um die Programmiersprache JavaScript. Es kommt kein Alert und am Ende geht der Text auch nicht weg vom Inputfeld.

...zur Frage

Was möchtest Du wissen?

Deine Frage stellen