PHP Aktuellen Secure Login Script gesucht

Hallo,

ich bin auf der Suche nach einem aktuellen und SICHEREN Login Script.

Im Netz gibt es ja eine Menge an Auswahl.
Aber welches davon würdet Ihr empfehlen?!

Bsp:
http://de.wikihow.com/Ein-sicheres-Login-Skript-mit-PHP-und-MySQL-erstellen
https://github.com/panique/php-login-minimal

Was mir auffällt das viele schon einige Jahre alt sind und ich vermute daher nicht mehr "Up to Date" sind?
Kennt jemand ein gutes Login Script das er empfehlen kann?

Mir wären diese Funktionen wichtig:
- Register
- Login/Logout
- email verification
- password reset
- captchas



Vielen Dank vorab!

Aus meiner beruflichen Erfahrung kann ich dir raten, die Vorstellung einer "Suche nach einem sicheren Login Script" gleich wieder zu vergessen. Ich meine damit nicht, dass es keine 100% Sicherheit gäbe, sondern dass es so nicht funktionieren wird.

Gerade jeder deiner genannten Wunschfunktionen beinhalten derart viele Aspekte, zu denen du Hintergrundwissen brauchst, dass die in keinen einzelnem Tutorial, gar "Script" zu finden wären.

Dein erster Link hat schon einige wichtige Gedanken, geht aber bspw. gleichzeitig so weit auch dir Sachen wie eine Datenbank Verbindung erklären zu wollen, oder wie deine Dateistruktur sein sollte, was es mit URL-Escaping zu tun hat, etc. Wenn das alles für dich neu ist, ist die Gefahr etwas davon zu missverstehen viel größer, als irgendein Tutorial dich dagegen absichern kann.

Dementsprechen wird kein Tutorial dir eine maßgeschneiderte Version geben können, die diesen Anspruch von "Aktuell und sicher" hat, wenn du nicht verstehst, worum es geht. Denn dafür musst du einfach komplett begreifen, was deine Programmierung/Architektur macht. Es gibt keine Copy'n'Paste Sicherheit beim Programmieren.

Daher ist es sinnvoll sich durch den Mist zu kämpfen und es verstehen zu lernen.

Eine kleine Regel kann ich dir aber mitgeben. Egal was du machst, versuche immer im "Whitelist"-Prinzip zu denken. Prüfst bspw. einen Usernamen, so prüfe ob dieser nur aus Alphanumerischen Zeichen besteht. Versuche erst gar nicht hier irgendwie nach derlei Escapezeichen zu suchen, nur um diese dann doppelt zu maskieren oder so. Der Grundgedanke daran ist wichtig und auf vieles übertragbar. So ist es bspw. in den heutigen Tage problemlos möglich ein Formular noch vor dem Absenden userfriendly auf Validität zu prüfen. Dein Backend hingegen sollte gar nicht mit einer Mechanik verkompliziert werden, die irgendwie fehlerhafte Daten zu korrigieren versucht. Das ist am Ende nur eine potenzielle Bruchstelle.

Tschaka!

Das wäre ein Armutszeugnis für das PHP-Ökosystem, wenn es da keine Frameworks gibt. In Java erschlägt man sowas mit Spring Security, in Python hab ich mit Flask-Security gute Erfahrungen und es wird doch wohl auch was für PHP geben…

Das Thema ist in der Tat umfangreich. Deswegen aber zu raten, sich selbst durch zu wühlen, finde ich falsch. Lieber battle hardened Libs verwenden von Leuten mit mehr Ahnung als man selbst. In der Regel sind solche Frameworks auch gut getestet, während eigene Implementationen (wenn überhaupt getestet wird), vermutlich voller kritischer Sicherheitslücken sein werden.

Naja nicht direkt als eigenstaendige Lib, aber Teil des Frameworks. http://laravel.com/docs/5.1/authentication
Captcha Erweiterungen gibt es auch: https://packagist.org/search/?q=+laravel +recaptcha

sowas? https://github.com/joefallon/phpauth
wieso nicht gleich ein framework nutzen, dass alles mögliche was man braucht anbietet?

Danke für die Antworten.

Werde für das Login ein Framework nutzen und habe mich für das Yii2 entschieden.
Da ich find den Guide am verständlichsten finde, was mir den Einstieg in die "Framework-Thematik" erleichtert.

Ich weiss zwar noch nicht genau wie der Login in Yii2 funktioniert, aber ich denk ich werd es noch herausbekommen.
Sollte jemand ein Link haben parat haben, wäre ich nicht abgeneigt

Beim Zend- und Symfony Framework hab ich nicht viel gerafft dazu sind wohl meine Progging Kenntnisse noch zu gering.
cakePHP fand ich recht smart aber das ich dazu einen "cakePHP"-Dienst starten muss (bin/cake server) damit es läuft hat mich doch abgestoßen...

Du musst bei cakephp nicht den eigenen webserver nutzen. Der macht Entwicklern nur das Leben einfach, da sie auch ohne Apache oder Nginx arbeiten können. Findest du so auch in der Anleitung die du verlinkt hast

wieso guckst du dir nur so komische spielzeug frameworks an (außer sympfony)

guck dir einfach laravel an.. die dokumentation ist super und das framework nimmt einem wirklich viel arbeit ab.. mit homestead existiert eine super develpment lösung.. es gibt haufenweise laravel packages http://packalyst.com/ hier ein kleiner guide was ich da nach der homestead installation öfters mache http://rhofma.de/wie-fangt-man-ein-laravel-projekt-an
einziges manko.. active directory als orm statt data mapper
http://laravel.com

Also Yii2 oder das ZF als Spielzeug zu bezeichen ist schon heftig, die sind eine ganze Ecker länger da als Laravel.

Und spielt (zumindest beim Zf) auch in einer ganz anderen Liga.

wer setzt denn noch zf für ein neues projekt ein? war vll 2012 noch irgendwie relevant.. und yii hält sich in der doku nach nicht an psr2 (und die doku ist nicht gut).. nagut laravel erst auch ab 5.1.. aber jetzt werden keine standards mehr missachtet.. und es basiert auf symphony was das wohl das enterprise php framework no1 ist.

Da die Programmierkenntnisse des TE noch nicht "so gut" sind ... bin ich der Einzige der seine Anforderungen für eine exzellente Übung hält?
Damit muss er sich auch von A bis Z selbst Gedanken um die Sicherheit machen, anstatt das Fass vom Tal aus auf den Berg zu rollen.

mfg,
Max

max_1234 schrieb:

bin ich der Einzige der seine Anforderungen für eine exzellente Übung hält?
Damit muss er sich auch von A bis Z selbst Gedanken um die Sicherheit machen

Zum Vergrößern anklicken....

Die Idee halte ich für bescheuert und gefährlich.