Gästebuch ohne Datenbank

[Volker]

Ich schon wieder

Ich hab ein Gästebuch ohne Datenbank und großen Schnick Schnack gebastelt.
Admin Passwort: volker04

Ihr könnt ja mal gucken

https://www.niederastroth.de/gb/

Ich weiß, gibts wie Sand am Meer - braucht kein Mensch mehr - usw. usw. Hab trotzdem eins gemacht

[Tommy Herrmann]

Moin,

das sieht sehr gut aus. Große Klasse

> Die Uhrzeit stimmt noch nicht.

> Ich denke auch, dass das Gästebuch noch einen Schutz gegen Spambots benötigt, denn gerade Formulare und Gästebücher sind ein sehr beliebtes Ziel für Spammer.

[Volker]

Moin Tommy,

Uhrzeit korrigiert und auch einen kleinen Spamschutz eingebaut.

Danke das Du immer alles testest

[Tommy Herrmann]

Prima - wird das dann verkauft? Find sollte schon etwas kosten.

Du hast sicherlich bereits gemerkt, dass ich Dir heute morgen ein eigenes Forum für Deine Anwendungen erstellt habe.

P.S.:

Spamschutz beim Eintragen habe ich jetzt noch nicht entdeckt

[Volker]

Tommy,

das ist natürlich auch kostenlos. Ich arbeite gerade an meiner Seite, wo ich die Scripte anbiete und auch Videos dazu.

Der Spamschutz ist eine Honeypot-Feld und ein Zeitbasierter Schutz ( 3 Sekunden) Auf Captcha wollte ich verzichten, da es ja nur ein GB sein soll. Wenn ich merke das da zig Einträge kommen, dann sichere ich das weiter ab.

[Tommy Herrmann]

Ah - OK

nun ja - die Einträge werden ja ohnehin erst freigeschaltet (was gut ist), dennoch hatte ich mal eines Morgens mehrere Hundert Spam-Einträge und das macht dann schon viel Arbeit.

Dieser Honeypot Schutz bringt eigentlich nichts, den hatte ich bisher überall - auch bei meinen 1 Millionen Formular-Mails in 1 Woche.

Ich denke, dass ich das Gästebuch dann auch auf meinen Tutorialseiten vorstellen möchte, denn ich habe als Gästebuch nur die vom Werner. Ich hatte übrigens gestern mal wieder Kontakt mit Werner. Es geht ihm gut.

[Volker]

Hab ein Bild Captcha eingebaut

[Tommy Herrmann]

Sehr gut - das macht das Gästebuch gleich viel vertrauenswürdiger

Den Ajax-Klick auf das Captcha solltest Du vielleicht, neben dem gedrehten Pfeil, auch am Formular-Generator einbauen.

[Volker]

Ich hatte übrigens gestern mal wieder Kontakt mit Werner. Es geht ihm gut.

Warum hat er keinen Bock mehr was zu machen ? Was macht er jetzt ohne PHP und seiner Webseite ?

[Tommy Herrmann]

Werner steckt noch mitten im Berufsleben. Ich hatte nur eine Frage zur Datenbanksoftware "Adminer".

Wie wir alle wissen, ist er Gärtner; deshalb bleibt für sein Hobby in dem Umfang, wie er es früher betrieben hat, kaum Zeit.

Er hat bereits mehrfach (mindestens viermal) alles aufgegeben, weil ihm Zeit und Motivation fehlten. Außerdem ärgerte er sich oft über nervige Fragen, die offensichtlich nur gestellt wurden, weil die Nutzer zu faul waren, mal selbst etwas nachzudenken.

[Volker]

Ich ändere gerade noch den Admin Bereich, das der sicherer wird. Bis jetzt ist das Passwort in klarschrift im Script.
Admin Bereich läuft also gerade nicht

Admin Bereich läuft wieder mit dem Passwort: volker04 - jetzt allerdings gehasht
Nebst Hashgenerator um eigene Passwörter zu erstellen.

[Tommy Herrmann]

Das ist zwar sehr lobenswert, halte ich jedoch nicht für notwendig, denn niemand kann PHP-Dateien einsehen und damit auch nicht das Passwort.

[Volker]

Sicher ist sicher Tommy Und außerdem wollte ich sowieso einen hashgenerator bauen

https://www.niederastroth.de/gb/passworterstellen.php

Ich weiß, gibts auch zu tausenden online

[Tommy Herrmann]

PHP ist auf jeden Fall sicher.

Ich erkläre dir das gerne, Tommy.

Das, was du da hast – "$2y$10$3HkvUQSBuEBKYXeaKXbBiupVkOSdF5t3gwJH.jUa31VPxp/oFeyhS" – ist kein verschlüsseltes Passwort, sondern ein gehashter Wert, höchstwahrscheinlich mit bcrypt erzeugt.

Der Unterschied zwischen Hashen und Verschlüsseln ist entscheidend:

1. Hashen vs. Verschlüsseln

Verschlüsseln:

Umkehrbar, wenn man den richtigen Schlüssel hat.

Beispiel: AES, RSA.


Hashen:

Einwegfunktion → Man kann den Originalwert nicht zurückrechnen.

Beispiel: SHA-256, bcrypt, Argon2.

Ziel: Passwörter nicht im Klartext speichern, sondern als Hash.

[Tommy Herrmann]

... aber Du hast im Prinzip schon Recht, denn PHP kann ja auch mal ausfallen.

Kurz: Nein, ein Klartext-Passwort im PHP-Skript ist keine gute Idee – auch dann nicht, wenn „PHP-Dateien ja nicht eingesehen werden können“. In der Praxis gibt es viele Wege, wie der Code (und damit dein Passwort) doch nach außen gelangt.

Warum Klartext im Code riskant ist

Selbst wenn PHP normalerweise serverseitig ausgeführt wird, passieren real ständig Dinge wie:

Server-Fehlkonfiguration: PHP-Interpreter fällt aus / ist falsch angebunden → Dateien werden als Text ausgeliefert.

Backup-/Editor-Dateien im Webroot: admin.php~, admin.php.bak, .swp, .zip–Archive der Seite → direkt downloadbar.

Versionskontrolle im Webroot: Offenes .git-Verzeichnis → Source Code lesbar.

LFI/RCE/Infoleaks: Sicherheitslücken ermöglichen Dateilesen.

Fehlerausgaben: var_dump, Stacktraces, Misconfig → Code-/Konfig-Leaks.

Deployment-Pannen: Zwischenstände auf CDN/S3 als statische Dateien hochgeladen.

Account-/Server-Kompromittierung: Bei Einbruch wandert das Passwort sofort 1:1 mit.

Wenn das Passwort im Code steht, ist es mit einem einzigen Leak kompromittiert – und du merkst es womöglich erst sehr spät.

Besser: Hash & saubere Trennung

Nie Klartext speichern. Lege einen bcrypt/Argon2-Hash ab und verifiziere damit.

Konfiguration außerhalb des Webroots lagern (z. B. /var/www-secure/config.php) und dort erst einbinden.

Rechte hart setzen (z. B. 600, nur vom Webserver-User lesbar).

[Volker]

So, Gästebuch ist nun online als ZIP zu laden auf meiner Webseite.
Dort findet Ihr alle Scripte und Tools

https://www.niederastroth.de/

[Tommy Herrmann]

Habe das Teil und versuche es später noch einzubauen. Muss noch ein paar Stunden weg.

Meine korrekte E-Mail wurde mit einer Fehlermeldung quittiert > "Bitte Admin informieren (oder so)" > entsprechend habe ich auch keine E-Mail erhalten.

[Volker]

Die Email muss in der eintragsformular.php hinterlegt werden :

Sollte eigentlich laufen

[Tommy Herrmann]

Ja natürlich.

Wird nicht geschickt - liegt vielleicht am Server wegen PHP-Mail. Dat will heute kein Provider mehr.

Habe gerade geguckt - und doch - IONOS sendet noch PHP Mail, für Adressen die hinterlegt sind. Das ist meine Adresse aber auch und das funktioniert ja auch mit etlichen Anwendungen vomn Werner. Da muss ein Fehler im Script sein.

Ich teste gleich nochmals.

[Volker]

Dann hau ich smtp rein

tz tz tz Ionos die Angsthasen