Seite 1 von 8
Gästebuch ohne Datenbank
Verfasst: Mi 3. Sep 2025, 23:22
von Volker
Ich schon wieder
Ich hab ein Gästebuch ohne Datenbank und großen Schnick Schnack gebastelt.
Admin Passwort: volker04
Ihr könnt ja mal gucken
https://www.niederastroth.de/gb/
Ich weiß, gibts wie Sand am Meer - braucht kein Mensch mehr - usw. usw. Hab trotzdem eins gemacht
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 04:09
von Tommy Herrmann
Moin,
das sieht sehr gut aus. Große Klasse
> Die
Uhrzeit stimmt noch nicht.
> Ich denke auch, dass das Gästebuch noch einen Schutz gegen
Spambots benötigt, denn gerade Formulare und Gästebücher sind ein sehr beliebtes Ziel für Spammer.
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 08:18
von Volker
Moin Tommy,
Uhrzeit korrigiert und auch einen kleinen Spamschutz eingebaut.
Danke das Du immer alles testest
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 08:28
von Tommy Herrmann
Prima - wird das dann verkauft? Find sollte schon etwas kosten.
Du hast sicherlich bereits gemerkt, dass ich Dir heute morgen ein eigenes Forum für Deine Anwendungen erstellt habe.
P.S.:
Spamschutz beim Eintragen habe ich jetzt noch nicht entdeckt
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 08:38
von Volker
Tommy,
das ist natürlich auch kostenlos. Ich arbeite gerade an meiner Seite, wo ich die Scripte anbiete und auch Videos dazu.
Der Spamschutz ist eine Honeypot-Feld und ein Zeitbasierter Schutz ( 3 Sekunden) Auf Captcha wollte ich verzichten, da es ja nur ein GB sein soll. Wenn ich merke das da zig Einträge kommen, dann sichere ich das weiter ab.
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 08:44
von Tommy Herrmann
Ah - OK
nun ja - die Einträge werden ja ohnehin erst freigeschaltet (was gut ist), dennoch hatte ich mal eines Morgens mehrere Hundert Spam-Einträge und das macht dann schon viel Arbeit.
Dieser
Honeypot
Schutz bringt eigentlich nichts, den hatte ich bisher überall - auch bei meinen 1 Millionen Formular-Mails in 1 Woche.
Ich denke, dass ich das Gästebuch dann auch auf meinen Tutorialseiten vorstellen möchte, denn ich habe als Gästebuch nur die vom Werner. Ich hatte übrigens gestern mal wieder Kontakt mit Werner. Es geht ihm gut.
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 08:51
von Volker
Hab ein Bild Captcha eingebaut
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 08:54
von Tommy Herrmann
Sehr gut - das macht das Gästebuch gleich viel vertrauenswürdiger
Den Ajax-Klick auf das Captcha solltest Du vielleicht, neben dem gedrehten Pfeil, auch am Formular-Generator einbauen.
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 09:51
von Volker
Tommy Herrmann hat geschrieben: Do 4. Sep 2025, 08:44
Ich hatte übrigens gestern mal wieder Kontakt mit Werner. Es geht ihm gut.
Warum hat er keinen Bock mehr was zu machen ? Was macht er jetzt ohne PHP und seiner Webseite ?
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 09:58
von Tommy Herrmann
Werner steckt noch mitten im Berufsleben. Ich hatte nur eine Frage zur Datenbanksoftware "Adminer".
Wie wir alle wissen, ist er Gärtner; deshalb bleibt für sein Hobby in dem Umfang, wie er es früher betrieben hat, kaum Zeit.
Er hat bereits mehrfach (mindestens viermal) alles aufgegeben, weil ihm Zeit und Motivation fehlten. Außerdem ärgerte er sich oft über nervige Fragen, die offensichtlich nur gestellt wurden, weil die Nutzer zu faul waren, mal selbst etwas nachzudenken.
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 10:00
von Volker
Ich ändere gerade noch den Admin Bereich, das der sicherer wird. Bis jetzt ist das Passwort in klarschrift im Script.
Admin Bereich läuft also gerade nicht
Admin Bereich läuft wieder mit dem Passwort: volker04 - jetzt allerdings gehasht
Nebst Hashgenerator um eigene Passwörter zu erstellen.
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 10:37
von Tommy Herrmann
Das ist zwar sehr lobenswert, halte ich jedoch nicht für notwendig, denn niemand kann PHP-Dateien einsehen und damit auch nicht das Passwort.
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 10:41
von Volker
Sicher ist sicher Tommy
Und außerdem wollte ich sowieso einen hashgenerator bauen
https://www.niederastroth.de/gb/passworterstellen.php
Ich weiß, gibts auch zu tausenden online
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 10:58
von Tommy Herrmann
PHP ist auf jeden Fall sicher.
Die KI ChatGPT hat geschrieben:
Ich erkläre dir das gerne, Tommy.
Das, was du da hast – "$2y$10$3HkvUQSBuEBKYXeaKXbBiupVkOSdF5t3gwJH.jUa31VPxp/oFeyhS" – ist kein verschlüsseltes Passwort, sondern ein gehashter Wert, höchstwahrscheinlich mit bcrypt erzeugt.
Der Unterschied zwischen Hashen und Verschlüsseln ist entscheidend:
1. Hashen vs. Verschlüsseln
Verschlüsseln:
Umkehrbar, wenn man den richtigen Schlüssel hat.
Beispiel: AES, RSA.
Hashen:
Einwegfunktion → Man kann den Originalwert nicht zurückrechnen.
Beispiel: SHA-256, bcrypt, Argon2.
Ziel: Passwörter nicht im Klartext speichern, sondern als Hash.
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 11:03
von Tommy Herrmann
... aber Du hast im Prinzip schon Recht, denn PHP kann ja auch mal ausfallen.
Die KI ChatGPT hat geschrieben:
Kurz: Nein, ein Klartext-Passwort im PHP-Skript ist keine gute Idee – auch dann nicht, wenn „PHP-Dateien ja nicht eingesehen werden können“. In der Praxis gibt es viele Wege, wie der Code (und damit dein Passwort) doch nach außen gelangt.
Warum Klartext im Code riskant ist
Selbst wenn PHP normalerweise serverseitig ausgeführt wird, passieren real ständig Dinge wie:
Server-Fehlkonfiguration: PHP-Interpreter fällt aus / ist falsch angebunden → Dateien werden als Text ausgeliefert.
Backup-/Editor-Dateien im Webroot: admin.php~, admin.php.bak, .swp, .zip–Archive der Seite → direkt downloadbar.
Versionskontrolle im Webroot: Offenes .git-Verzeichnis → Source Code lesbar.
LFI/RCE/Infoleaks: Sicherheitslücken ermöglichen Dateilesen.
Fehlerausgaben: var_dump, Stacktraces, Misconfig → Code-/Konfig-Leaks.
Deployment-Pannen: Zwischenstände auf CDN/S3 als statische Dateien hochgeladen.
Account-/Server-Kompromittierung: Bei Einbruch wandert das Passwort sofort 1:1 mit.
Wenn das Passwort im Code steht, ist es mit einem einzigen Leak kompromittiert – und du merkst es womöglich erst sehr spät.
Besser: Hash & saubere Trennung
Nie Klartext speichern. Lege einen bcrypt/Argon2-Hash ab und verifiziere damit.
Konfiguration außerhalb des Webroots lagern (z. B. /var/www-secure/config.php) und dort erst einbinden.
Rechte hart setzen (z. B. 600, nur vom Webserver-User lesbar).
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 11:52
von Volker
So, Gästebuch ist nun online als ZIP zu laden auf meiner Webseite.
Dort findet Ihr alle Scripte und Tools
https://www.niederastroth.de/
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 12:36
von Tommy Herrmann
Habe das Teil und versuche es später noch einzubauen. Muss noch ein paar Stunden weg.
Meine korrekte E-Mail wurde mit einer Fehlermeldung quittiert > "Bitte Admin informieren (oder so)" > entsprechend habe ich auch keine E-Mail erhalten.
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 12:41
von Volker
Die Email muss in der eintragsformular.php hinterlegt werden :
Sollte eigentlich laufen
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 12:45
von Tommy Herrmann
Ja natürlich.
Wird nicht geschickt - liegt vielleicht am Server wegen PHP-Mail. Dat will heute kein Provider mehr.
Habe gerade geguckt - und doch - IONOS sendet noch PHP Mail, für Adressen die hinterlegt sind. Das ist meine Adresse aber auch und das funktioniert ja auch mit etlichen Anwendungen vomn Werner. Da muss ein Fehler im Script sein.
Ich teste gleich nochmals.
Re: Gästebuch ohne Datenbank
Verfasst: Do 4. Sep 2025, 12:48
von Volker
Dann hau ich smtp rein
tz tz tz Ionos die Angsthasen
1. Hashen vs. Verschlüsseln