PHP-Webseitenschutz

[MaikA]

Hallo zusammen

Ich habe vor einiger Zeit das Skript entdeckt und es nach der Anleitung von Werner Zenk integriert.

Nun wurde heute ein Update an meiner Seite vorgenommen und es wird nicht mehr nach dem Benutzernamen und Passwort gefragt...!?

Alle Dateien vom Skript sind vom Update nicht betroffen... muss ich irgendwas in meine eigene Seite einfügen, damit das Skript funktioniert? Ich weiß es leider nicht mehr.

Danke für Eure Unterstützung.


Gruß Maik

[Tommy Herrmann]

Hallo Maik,

und willkommen bei uns im Forum

Du meinst sicherlich dieses Skript vom Werner, das ich u.a. hier auf meiner Seite eingebaut habe, oder?

https://www.mobirise-tutorials.com/Mitglieder.php

Mein Tutorial dazu befindet sich noch auf meinen alten Seiten zur Software "NetObjects Fusion" (NOF), da es ebenso in Mobirise anwendbar ist:

http://www.nof-tutorials.com/PHP-Websei ... orial.html

Wo und wie hast Du das Skript denn bei Dir eingebaut - in Mobirise oder NOF oder in welche Software?

Von was für einem Update sprichst Du denn?

Dieses Skript vom Werner arbeitet ja recht einfach über eine "SESSION" Variable. Es wird also auf jeder zu schützenden Seite abgefragt, ob diese "Sitzungsvariable" (man also eingeloggt ist) korrekt ist. Dieser Code muss also auf jeder zu schützenden Seite eingebaut worden sein, im Bereich "Before <!DOCTYPE>" - also ganz am Beginn einer jeden Seite.

Code: Alles auswählen

<?php
/*
 * PHP-Webseitenschutz - geheim.php
 * - https://werner-zenk.de
 */

// Dieses Script muss an den Anfang jeder Seite die geschützt werden soll.
session_start();
if (!isset($_SESSION["benutzername"])) {
 header("Location: ../anmeldung.php"); // Zur Anmeldung weiterleiten, bitte Pfad anpassen
 exit;
}
?>

Du müsstest uns etwas mehr Informationen geben, insbesondere was Du mit dem Update meinst. Es wird ja bei einem Update von z.B. einer Software ja nicht der Inhalt der Seiten verändert

... und ob Du alles an den richtigen Stellen eingebaut hast - das kann man ja so noch nicht beurteilen.

[MaikA]

Hallo Tommy,

Herzlichen Dank für die ausführliche Antwort.

Das Problemchen hat sich erledigt... Ich hatte den Code aus der anmelden.php eingefügt, dann kann es natürlich nicht funktionieren.


Beste Grüße
Maik

[Tommy Herrmann]

Hallo Maik,

prima

... weil schon geschrieben:

im Browser kannst Du den PHP-Code auch nicht sehen.

Du musst mit einem Editor in eine Deiner geschützten Seiten gucken, dort steht dieser ganz oben - noch vor dem "!DOCTYPE".

Beispiel meiner "Sicheren Seite", die mit der SESSION-Variable aus Werners Skript geschützt ist (oben markiert):

... ich weiß jetzt nicht warum Du da das Framework "Laravel" gepostet hattest - das hat doch mit dem Skript vom Werner nun gar nichts zu tun.


https://de.wikipedia.org/wiki/Laravel

[MaikA]

Hallo Tommy

Sorry, das hat etwas mit meiner Seite zu tun - so sieht meine index.php aus.

Erholsamen Sonntag und alles Gute!


Gruß Maik

[Boomer]

Hallo,

möchte zu dem Skript, das bei mir super läuft auch nochmal was fragen:

Wie ändere ich mein Admin Passwort? Editiere ich die entsprechende php Datei und schiebe sie dann mit filezilla auf meine Seite?

Danke und Grüße, Thomas

[Tommy Herrmann]

Moin,

ja genau so. Das steht ja nur dort und wird von der Anwendung beim Aufruf eingelesen.

[Boomer]

Danke, aber ich glaube ich habe noch einen Denkfehler:

ich habe jetzt das Admin Passwort in der Datei "einstellungen.php" im admin Ordner auf meiner Festplatte geändert und dann die Datei mit filezilla in den admin Ordner auf dem Server geschoben. Das führt dann zu einem "fatal error" bei der Anmeldung, da die verknüpfte Datenbank nicht mehr geöffnet werden kann.

-Gibt es noch eine php, in der das Admin Passwort steht und wo ich es ändern kann?
-Oder kann ich das Admin Passwort auch einfach über die Funktion "Passwort ändern" auf der Website ändern?

Gruße und Danke, Thomas

[Tommy Herrmann]

Sorry - ich dachte Du meinst ein ganz anderes Skript, nämlich das um welches es in diesem Board eigentlich ging:

"PHP-Webseitenschutz":

https://www.mobirise-tutorials.com/Mitglieder.php

Du meinst doch jetzt dieses Skript - oder:

"MySQL-Webseitenschutz":

https://www.mobirise-tutorials.com/Seitenschutz/

Da wird das Passwort ja über eine Mitglieder-Verwaltung verschlüsselt in der MySQL-Datenbank gespeichert. Das geht dann so nicht.

Da müsste Du mal den Werner fragen, wie man das machen kann.

Kann man das vielleicht auch über die Seite Passwort-Ändern machen? Ich denke eigentlich schon

Melde Dich mal mit dem alten Passwort als Admin an (trage das zuvor wieder in das Skript ein) und rufe dann die Seite zum Passwort ändern auf (passwort_aendern.php):

Ich weiß nicht, wann und ob er das hier liest - sonst wende Dich mal direkt über seine Kommentar-Funktion an Werner.

https://werner-zenk.de/archiv/mysql_webseitenschutz.php

[Boomer]

Danke Dir. Ich warte mal ein bisschen und dann werde ich Werner ggf. kontaktieren.

Beste Grüße und einen schönen 1. Mai.

Thomas

[Werner-Zenk.de]

Der PHP-Webseitenschutz und der MySQL-Webseitenschutz sind unterschiedliche Skripte. Bitte darauf achten!

Das, was ich dir in meiner E-Mail geschrieben ist richtig, aber man kann das Admin. Passwort auch über der Funktion "Passwort ändern" machen, habe es gerade getestet.

[Tommy Herrmann]

Moin Werner,

danke für Deine Hilfe.

Welche Alternative gäbe es denn, wenn man die Änderung nicht über die Anwendung selbst > "Passwort Ändern" > vornehmen wollte.

Bleibt dann nur die Anwendung neu zu installieren?

[Werner-Zenk.de]

Ein kleiner Umweg über phpMyAdmin oder dem Adminer damit man den Passwort-Hash ändern kann und ein Script das den Hash vom Passwort erzeugt:

Code: Alles auswählen

<?php
include "einstellungen.php";
$hash = password_hash($ADMIN_PASSWORT, PASSWORD_BCRYPT, $pwOptions);
?>
<!DOCTYPE html>
<html lang="de">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Passwort-Hash erstellen</title>
</head>
<body>

<h1>Passwort-Hash erstellen</h1>

<p>Dieses PHP-Skript erzeugt einen Admin. Passwort-Hash, zum Einfügen in die Datenbank-Tabelle:
    <code>benutzerverwaltung</code> Spalte: <code>passwort</code>.</p>

<p><code><?=$hash;?></code></p>

</body>
</html>

Ausführen im Verzeichnis "admin".

Für viele sind halt diese Datenbank-Einträge "Ein Buch mit 7 Siegeln",
im Grunde ist das auch nur eine Text-Datei die "besonders formatiert" ist, um schnell auf die Daten zugreifen zu können.
Meiner Meinung nach sollte sich jeder der eine Datenbank-Tabelle hat, mit den oben genannten Programmen auseinandersetzen, denn die in der Tabelle liegende Werte lassen sich viel leichter anpassen.

[Tommy Herrmann]

Moin Werner,

... danke Dir !

Ich habe jetzt noch nicht ganz verstanden, warum Du das hier für den Admin über die Datenbank gemacht hast und nicht (wie immer) über eine PHP-Datei, denn das Passwort vom Admin bräuchte doch dann nur in der Datei "einstellungen.php" geändert werden. Macht doch keinen Sinn, das Passwort vom Admin mit PHP hash zu verschlüsseln oder sehe ich das irgendwie falsch?

[Werner-Zenk.de]

Das Admin. Passwort wird bei der Installation benötigt. Da gibt es kein Formular, um das Passwort einzutragen man muss dies in den Einstellungen angeben. Das hat den Vorteil das man da schnell mal nachschauen kann, falls das PW vergessen wurde.
Wenn es dan mal über die "Passwort ändern"-Funktion geändert wurde, muss man sich selbst um die Speicherung des PW kümmern (Browser, Passwort-Manager, Datei, Zettel unter der Tastatur etc.).

[Tommy Herrmann]

Danke Werner,

mir war das so noch gar nicht aufgefallen, da ich das so auch noch nie verändert habe.