Hallo,
ich habe mit der MyOOS Dumper Version 5.0.22 begonnen.
In dieser Phase sollte man nicht die Quellen aus der Entwicklerversion verwenden, sondern ausschließlich die letzte Version 5.0.21.
Diese gibt es hier
https://github.com/r23/MyOOS-Dumper/rel ... mod_5.0.21
Damit man später nachvollziehen kann, was ich gemacht habe - werde hier einige Hinweistexte veröffentlichen.
Vielen Dank.
Ralf
MyOOS Dumper 5.0.22
Re: MyOOS Dumper 5.0.22
Installation von roave/security-advisories
“roave/security-advisories” ist ein Composer-Metapaket, das keine funktionale Code selbst enthält, aber eine composer.json-Datei hat, die die Installation von Paketen und Paketversionen mit bekannten Sicherheitslücken verhindert. Es ist eine einfache und effektive Möglichkeit, deine PHP-Anwendungen vor bekannten Angriffen zu schützen12
Um es zu verwenden, musst du es einfach als Entwicklungspaket in deinem Projekt hinzufügen:
composer require --dev roave/security-advisories:dev-latest
Dieses Paket extrahiert Informationen über bestehende Sicherheitsprobleme in verschiedenen Composer-Projekten aus dem FriendsOfPHP/security-advisories Repository und der GitHub Advisory Database23
Es werden nur die Überprüfungen ausgeführt, wenn du eine neue Abhängigkeit über composer require hinzufügst oder wenn du composer update ausführst. Du kannst eine manuelle Überprüfung auslösen, indem du den --dry-run-Schalter bei einem Update verwendest, ohne etwas zu tun. Das Ausführen von composer update --dry-run roave/security-advisories ist eine effektive Möglichkeit, eine manuelle Sicherheitsversionsüberprüfung auszulösen2
“roave/security-advisories” ist ein Composer-Metapaket, das keine funktionale Code selbst enthält, aber eine composer.json-Datei hat, die die Installation von Paketen und Paketversionen mit bekannten Sicherheitslücken verhindert. Es ist eine einfache und effektive Möglichkeit, deine PHP-Anwendungen vor bekannten Angriffen zu schützen12
Um es zu verwenden, musst du es einfach als Entwicklungspaket in deinem Projekt hinzufügen:
composer require --dev roave/security-advisories:dev-latest
Dieses Paket extrahiert Informationen über bestehende Sicherheitsprobleme in verschiedenen Composer-Projekten aus dem FriendsOfPHP/security-advisories Repository und der GitHub Advisory Database23
Es werden nur die Überprüfungen ausgeführt, wenn du eine neue Abhängigkeit über composer require hinzufügst oder wenn du composer update ausführst. Du kannst eine manuelle Überprüfung auslösen, indem du den --dry-run-Schalter bei einem Update verwendest, ohne etwas zu tun. Das Ausführen von composer update --dry-run roave/security-advisories ist eine effektive Möglichkeit, eine manuelle Sicherheitsversionsüberprüfung auszulösen2
Re: MyOOS Dumper 5.0.22
Fehlermeldung in Composer
Your requirements could not be resolved to an installable set of packages.
Problem 1
- phpseclib/phpseclib is locked to version 3.0.0 and an update of this package was not requested.
- roave/security-advisories dev-latest conflicts with phpseclib/phpseclib <2.0.31|>=3,<3.0.19.
- Root composer.json requires roave/security-advisories dev-latest -> satisfiable by roave/security-advisories[dev-latest].
Your requirements could not be resolved to an installable set of packages.
Problem 1
- phpseclib/phpseclib is locked to version 3.0.0 and an update of this package was not requested.
- roave/security-advisories dev-latest conflicts with phpseclib/phpseclib <2.0.31|>=3,<3.0.19.
- Root composer.json requires roave/security-advisories dev-latest -> satisfiable by roave/security-advisories[dev-latest].
Re: MyOOS Dumper 5.0.22
Es tut mir leid, dass du Probleme mit Composer hast.
Die Fehlermeldung bedeutet, dass du eine Version von phpseclib/phpseclib installiert hast, die nicht mit roave/security-advisories kompatibel ist. Das Paket roave/security-advisories verhindert die Installation von Paketen mit bekannten Sicherheitslücken, und phpseclib/phpseclib hat einige solche Lücken in den Versionen <2.0.31 oder >=3,<3.0.19.
Um das Problem zu lösen, kannst du versuchen, phpseclib/phpseclib auf eine sichere Version zu aktualisieren, zum Beispiel 2.0.31 oder 3.0.19 oder höher. Dazu kannst du den folgenden Befehl ausführen:
`composer require phpseclib/phpseclib:^2.0.31`
oder
`composer require phpseclib/phpseclib:^3.0.19`
Danach solltest du roave/security-advisories ohne Konflikte installieren können.
Die Fehlermeldung bedeutet, dass du eine Version von phpseclib/phpseclib installiert hast, die nicht mit roave/security-advisories kompatibel ist. Das Paket roave/security-advisories verhindert die Installation von Paketen mit bekannten Sicherheitslücken, und phpseclib/phpseclib hat einige solche Lücken in den Versionen <2.0.31 oder >=3,<3.0.19.
Um das Problem zu lösen, kannst du versuchen, phpseclib/phpseclib auf eine sichere Version zu aktualisieren, zum Beispiel 2.0.31 oder 3.0.19 oder höher. Dazu kannst du den folgenden Befehl ausführen:
`composer require phpseclib/phpseclib:^2.0.31`
oder
`composer require phpseclib/phpseclib:^3.0.19`
Danach solltest du roave/security-advisories ohne Konflikte installieren können.
Re: MyOOS Dumper 5.0.22
Hallo,
ich habe Anfang der Woche einen Filter FILTER_SANITIZE_STRING eingebaut.
*freu*
Eben habe ich festgestellt, dass dieser Filter in PHP 8.2 veraltet ist
Ich habe eine neue Funktion geschrieben.
*freu*
In dieser neuen MyOOS Dumper Version 5.0.22 verwende ich PHP 8.0 übliche Funktionssignatur
(string $string): string { ist eine Funktionssignatur, die angibt, dass die Funktion einen Parameter vom Typ string erwartet und einen Wert vom Typ string zurückgibt1. Das bedeutet, dass die Funktion nur mit Zeichenfolgenwerten arbeiten kann und einen Fehler auslöst, wenn ein anderer Wert übergeben wird. Zum Beispiel:
(mixed $string): mixed { ist eine Funktionssignatur, die angibt, dass die Funktion einen Parameter vom Typ mixed erwartet und einen Wert vom Typ mixed zurückgibt. Das bedeutet, dass die Funktion mit jedem Wert arbeiten kann, einschließlich aller skalaren Typen, null, Objekten, aufrufbaren Werten und Ressourcen. Zum Beispiel:
Alle Funktionen im MOD müssen auf die neu Schreibweise aktualisiert werden.
Beste Grüße
Ralf
ich habe Anfang der Woche einen Filter FILTER_SANITIZE_STRING eingebaut.
*freu*
Eben habe ich festgestellt, dass dieser Filter in PHP 8.2 veraltet ist
Ich habe eine neue Funktion geschrieben.
*freu*
In dieser neuen MyOOS Dumper Version 5.0.22 verwende ich PHP 8.0 übliche Funktionssignatur
(string $string): string { ist eine Funktionssignatur, die angibt, dass die Funktion einen Parameter vom Typ string erwartet und einen Wert vom Typ string zurückgibt1. Das bedeutet, dass die Funktion nur mit Zeichenfolgenwerten arbeiten kann und einen Fehler auslöst, wenn ein anderer Wert übergeben wird. Zum Beispiel:
Code: Alles auswählen
function say_hello (string $name): string {
return "Hallo $name";
}
echo say_hello ("Peter"); // Gibt "Hallo Peter" aus
echo say_hello (42); // Gibt einen Fehler aus
(mixed $string): mixed { ist eine Funktionssignatur, die angibt, dass die Funktion einen Parameter vom Typ mixed erwartet und einen Wert vom Typ mixed zurückgibt. Das bedeutet, dass die Funktion mit jedem Wert arbeiten kann, einschließlich aller skalaren Typen, null, Objekten, aufrufbaren Werten und Ressourcen. Zum Beispiel:
Code: Alles auswählen
function do_something (mixed $value): mixed {
// Mach etwas mit dem Wert
return $value;
}
echo do_something ("Peter"); // Gibt "Peter" aus
echo do_something (42); // Gibt 42 aus
Beste Grüße
Ralf
Zuletzt geändert von r23 am 16.08.2023, 19:12, insgesamt 1-mal geändert.
Re: MyOOS Dumper 5.0.22
Hallo,
eine böse Überraschung. Gestern per Composer update fremde Scripte installiert. Bei der heutigen Prüfung ist dies aufgefallen.
Ich habe die gefälschte Version in unserer Entwicklungsumgebung auf GitHub gelöscht und die offizielle Version installiert.
https://github.com/r23/MyOOS-Dumper/com ... 263f5ed1a0
ich habe zusätzliche roave/security-advisories neu installiert.
Dieses Paket stellt sicher, dass unsere Anwendung keine Abhängigkeiten mit bekannten Sicherheitslücken installiert hat. Es bietet keine API oder nutzbare Klassen an: sein einziger Zweck ist es, die Installation von Software mit bekannten und dokumentierten Sicherheitsproblemen zu verhindern¹.
Du kannst die Sicherheit deiner Abhängigkeiten manuell überprüfen, indem du den Schalter `--dry-run` bei einem Update verwendest, ohne etwas zu tun.
Der Befehl `composer update --dry-run roave/security-advisories` ist eine effektive Möglichkeit, eine Sicherheitsprüfung manuell auszulösen.
eine böse Überraschung. Gestern per Composer update fremde Scripte installiert. Bei der heutigen Prüfung ist dies aufgefallen.
Die Version v9.99.100 von random_compat ist eine gefälschte Version, die von einem Hacker erstellt wurde, um eine Sicherheitslücke in Composer auszunutzen1. Diese Version enthält schädlichen Code, der versucht, Ihre Daten zu stehlen oder Ihren Server zu beschädigenEin Hacker hat eine gefälschte random_compat Version v9.99.100 über Composer update ausgeliefert.
Ich habe die gefälschte Version in unserer Entwicklungsumgebung auf GitHub gelöscht und die offizielle Version installiert.
https://github.com/r23/MyOOS-Dumper/com ... 263f5ed1a0
ich habe zusätzliche roave/security-advisories neu installiert.
Code: Alles auswählen
composer require --dev roave/security-advisories:dev-latest
Du kannst die Sicherheit deiner Abhängigkeiten manuell überprüfen, indem du den Schalter `--dry-run` bei einem Update verwendest, ohne etwas zu tun.
Der Befehl `composer update --dry-run roave/security-advisories` ist eine effektive Möglichkeit, eine Sicherheitsprüfung manuell auszulösen.
Re: MyOOS Dumper 5.0.22
Hallo,
der PHP Code ist nun PHP Version 8.2 optimiert.
Dafür habe ich Rector installiert.
Rector ist ein Open-Source-Tool, das sofortige Upgrades und Refactoring von PHP-Code durchführt. Es basiert auf einer Reihe von Regeln, die Ihren Code ändern, wie z.B. das Hinzufügen oder Entfernen von Funktionen, das Ersetzen von veralteten oder veralteten Konstrukten, das Ändern von Parametern oder Rückgabewerten usw
Um Rector-Regeln für MyOOS Dumper zu erstellen, habe ich eine PHP-Klasse erstellt, die von der abstrakten Klasse Rector\Core\Rector\AbstractRector erbt. Diese Klasse musste drei Methoden implementieren:
getRuleDefinition: Diese Methode gibt ein RuleDefinition-Objekt zurück, das die Beschreibung, die Codebeispiele und die Dokumentation für unsere Regel enthält. Wir können diese Methode verwenden, um unsere Regeln zu dokumentieren und zu erklären, was sie tut und warum sie nützlich ist.
getNodeTypes: Diese Methode gibt ein Array von Strings zurück, die die Typen der Knoten angeben, auf die unsere Regel angewendet werden soll. Wir können diese Methode verwenden, um zu filtern, welche Knoten von unsere Regel verarbeitet werden sollen. Zum Beispiel können wir nur Expr\FuncCall auswählen, wenn wir nur Funktionsaufrufe ändern möchten.
refactor: Diese Methode nimmt einen Knoten als Parameter und gibt einen neuen Knoten oder null zurück. Dies ist die Hauptlogik unsere Regel, in der wir den gegebenen Knoten analysieren und modifizieren können. Wir können diese Methode verwenden, um den Code nach unseren eigenen Kriterien zu transformieren.
Es gibt viele Beispiele für Rector-Regeln, die verschiedene Arten von Code-Verbesserungen oder -Migrationen ermöglichen. Hier sind einige Quellen, die helfen können, mehr über Rector-Regeln zu erfahren:
Ein Blogbeitrag, der Tipps für die Erstellung Ihrer ersten Rector-Regel gibt, um PHP-Code zu transformieren1. Er erklärt die Grundkonzepte von Rector und zeigt ein einfaches Beispiel für eine Regel, die den Null-Koaleszenzoperator ??= durch seinen PHP 7.3-Äquivalent ersetzt.
https://blog.logrocket.com/creating-fir ... -php-code/
Eine Übersicht über 82 Rector-Regeln, die speziell für Symfony-Projekte entwickelt wurden. Sie decken verschiedene Aspekte von Symfony ab, wie z.B. Dependency Injection, Routing, Console, Forms und mehr. Sie können uns helfen, Symfony-Code auf dem neuesten Stand zu halten oder von einer Version auf eine andere zu migrieren.
https://github.com/rectorphp/rector-sym ... verview.md
Wir schließen das Verzeichnis Work aus. Um ein Verzeichnis von Rector auszuschließen, können wir die skip-Methode in unser rector.php-Konfigurationsdatei verwenden. Diese Methode nimmt ein Array von Pfaden oder Mustern entgegen, die von Rector ignoriert werden sollen.
Beste Grüße
Ralf
der PHP Code ist nun PHP Version 8.2 optimiert.
Dafür habe ich Rector installiert.
Rector ist ein Open-Source-Tool, das sofortige Upgrades und Refactoring von PHP-Code durchführt. Es basiert auf einer Reihe von Regeln, die Ihren Code ändern, wie z.B. das Hinzufügen oder Entfernen von Funktionen, das Ersetzen von veralteten oder veralteten Konstrukten, das Ändern von Parametern oder Rückgabewerten usw
Um Rector-Regeln für MyOOS Dumper zu erstellen, habe ich eine PHP-Klasse erstellt, die von der abstrakten Klasse Rector\Core\Rector\AbstractRector erbt. Diese Klasse musste drei Methoden implementieren:
getRuleDefinition: Diese Methode gibt ein RuleDefinition-Objekt zurück, das die Beschreibung, die Codebeispiele und die Dokumentation für unsere Regel enthält. Wir können diese Methode verwenden, um unsere Regeln zu dokumentieren und zu erklären, was sie tut und warum sie nützlich ist.
getNodeTypes: Diese Methode gibt ein Array von Strings zurück, die die Typen der Knoten angeben, auf die unsere Regel angewendet werden soll. Wir können diese Methode verwenden, um zu filtern, welche Knoten von unsere Regel verarbeitet werden sollen. Zum Beispiel können wir nur Expr\FuncCall auswählen, wenn wir nur Funktionsaufrufe ändern möchten.
refactor: Diese Methode nimmt einen Knoten als Parameter und gibt einen neuen Knoten oder null zurück. Dies ist die Hauptlogik unsere Regel, in der wir den gegebenen Knoten analysieren und modifizieren können. Wir können diese Methode verwenden, um den Code nach unseren eigenen Kriterien zu transformieren.
Es gibt viele Beispiele für Rector-Regeln, die verschiedene Arten von Code-Verbesserungen oder -Migrationen ermöglichen. Hier sind einige Quellen, die helfen können, mehr über Rector-Regeln zu erfahren:
Ein Blogbeitrag, der Tipps für die Erstellung Ihrer ersten Rector-Regel gibt, um PHP-Code zu transformieren1. Er erklärt die Grundkonzepte von Rector und zeigt ein einfaches Beispiel für eine Regel, die den Null-Koaleszenzoperator ??= durch seinen PHP 7.3-Äquivalent ersetzt.
https://blog.logrocket.com/creating-fir ... -php-code/
Eine Übersicht über 82 Rector-Regeln, die speziell für Symfony-Projekte entwickelt wurden. Sie decken verschiedene Aspekte von Symfony ab, wie z.B. Dependency Injection, Routing, Console, Forms und mehr. Sie können uns helfen, Symfony-Code auf dem neuesten Stand zu halten oder von einer Version auf eine andere zu migrieren.
https://github.com/rectorphp/rector-sym ... verview.md
Wir schließen das Verzeichnis Work aus. Um ein Verzeichnis von Rector auszuschließen, können wir die skip-Methode in unser rector.php-Konfigurationsdatei verwenden. Diese Methode nimmt ein Array von Pfaden oder Mustern entgegen, die von Rector ignoriert werden sollen.
Beste Grüße
Ralf
Re: MyOOS Dumper 5.0.22
Hallo,
Abmeldemöglichkeit beim MOD.
Ein Wunsch von Webenmark
viewtopic.php?f=41&t=4786
Leider beginnen einige Webbrowser bei der Abmeldung einen Dialog mit dem Anwender. Diese schreiben etwas von Anmeldung...
Die Möglichkeit, sich von einem mit .htaccess und .htpasswd geschützten Verzeichnis abzumelden, ist, den Benutzer zu einer ungültigen Benutzername/Passwort-Kombination umzuleiten,
Wir verwenden logout:logout
Dies wird den aktuellen Benutzernamen/Passwort des Benutzers mit logout/logout ersetzen und da er nun den falschen Benutzernamen/Passwort hat, muss er sich erneut anmelden, um auf die Seite zuzugreifen.
Damit es nicht zu einem Browser prompt kommt versuchen wir folgende Möglichkeiten, den Hinweis des Browsers zu deaktivieren, wenn du sich mit logout:logout@ abmelden möchtest.
Eine Möglichkeit ist, den HTTP-Statuscode der Antwort von 401 (Unauthorized) auf 403 (Forbidden) zu ändern, damit der Browser keinen WWW-Authenticate-Header erwartet und keinen Anmeldedialog anzeigt. - Ist eingebaut
Eine andere Möglichkeit ist, den Cache-Control-Header der Antwort auf no-store zu setzen, damit der Browser die Seite nicht aus dem Cache lädt ist eigebaut
Eine dritte Möglichkeit ist, den WWW-Authenticate-Header der Antwor zu entfernen oder zu ändern, damit der Browser ihn nicht erkennt und keinen Anmeldedialog anzeigt . ist eingebaut.
Beste Grüße
Ralf
Abmeldemöglichkeit beim MOD.
Ein Wunsch von Webenmark
viewtopic.php?f=41&t=4786
Leider beginnen einige Webbrowser bei der Abmeldung einen Dialog mit dem Anwender. Diese schreiben etwas von Anmeldung...
Die Möglichkeit, sich von einem mit .htaccess und .htpasswd geschützten Verzeichnis abzumelden, ist, den Benutzer zu einer ungültigen Benutzername/Passwort-Kombination umzuleiten,
Wir verwenden logout:logout
Dies wird den aktuellen Benutzernamen/Passwort des Benutzers mit logout/logout ersetzen und da er nun den falschen Benutzernamen/Passwort hat, muss er sich erneut anmelden, um auf die Seite zuzugreifen.
Damit es nicht zu einem Browser prompt kommt versuchen wir folgende Möglichkeiten, den Hinweis des Browsers zu deaktivieren, wenn du sich mit logout:logout@ abmelden möchtest.
Eine Möglichkeit ist, den HTTP-Statuscode der Antwort von 401 (Unauthorized) auf 403 (Forbidden) zu ändern, damit der Browser keinen WWW-Authenticate-Header erwartet und keinen Anmeldedialog anzeigt. - Ist eingebaut
Eine andere Möglichkeit ist, den Cache-Control-Header der Antwort auf no-store zu setzen, damit der Browser die Seite nicht aus dem Cache lädt ist eigebaut
Eine dritte Möglichkeit ist, den WWW-Authenticate-Header der Antwor zu entfernen oder zu ändern, damit der Browser ihn nicht erkennt und keinen Anmeldedialog anzeigt . ist eingebaut.
Beste Grüße
Ralf
Re: MyOOS Dumper 5.0.22
Das Logout-Script, das wir verwenden möchten, hat einige potenzielle Probleme, die zu Warnungen oder Fehlermeldungen führen können. Hier sind einige Punkte, die Sie beachten sollten:
- Das Logout-Script basiert auf der Idee, dass wir eine ungültige Benutzername/Passwort-Kombination an den Server senden, um die HTTP-Authentifizierung zu beenden. Dies ist jedoch keine zuverlässige Methode, da der Browser möglicherweise immer noch die ursprünglichen Anmeldeinformationen speichert und erneut sendet. Außerdem kann der Browser einen Dialog anzeigen, der den Benutzer fragt, ob er sich als logout anmelden möchte, was verwirrend oder unerwünscht sein kann.
- Das Logout-Script verwendet die http_response_code-Funktion, um den Statuscode auf 403 (Forbidden) zu setzen. Dies ist jedoch nicht notwendig und kann sogar kontraproduktiv sein, da der Server möglicherweise einen WWW-Authenticate-Header sendet, der den Browser auffordert, einen Anmeldedialog anzuzeigen. Dies kann mit der header_remove-Funktion verhindert werden, aber es ist einfacher, einfach den Statuscode auf 302 (Found) zu lassen, der für eine Umleitung verwendet wird.
- Das Logout-Script verwendet die header-Funktion, um den Cache-Control-Header auf no-store zu setzen. Dies ist eine gute Praxis, um zu verhindern, dass der Browser die Seite zwischenspeichert und den Benutzer ohne Anmeldung wieder auf die geschützte Seite bringt. Allerdings sollten Sie auch andere Header setzen, die das Caching beeinflussen können, wie Expires und Pragma³.
Eine Alternative für das Logout-Script wäre, die PHP-Authentifizierung anstelle der .htaccess-Authentifizierung zu verwenden
8<-
Die PHP-Authentifizierung ist eine Methode, um den Zugriff auf bestimmte Seiten oder Inhalte auf einer Website zu beschränken, indem Sie die Benutzer auffordern, einen Benutzernamen und ein Passwort einzugeben. Es gibt verschiedene Möglichkeiten, wie Sie die PHP-Authentifizierung verwenden können, je nachdem, wie Sie Ihre Website gestalten und welche Anforderungen Sie haben. Hier sind einige allgemeine Schritte, die Sie befolgen können:
- Sie müssen zuerst entscheiden, welche Seiten oder Inhalte Sie schützen wollen und wie Sie die Benutzer identifizieren und autorisieren wollen. Sie können zum Beispiel eine Datenbank verwenden, um die Benutzerdaten zu speichern, oder eine Datei wie .htpasswd oder .htaccess verwenden, um die Zugriffsregeln zu definieren.
- Sie müssen dann die header-Funktion von PHP verwenden, um dem Browser mitzuteilen, dass er eine HTTP-Authentifizierung anfordern soll. Sie können entweder die Basic- oder die Digest-Methode verwenden, je nachdem, wie sicher Sie die Übertragung der Anmeldeinformationen machen wollen. Die Basic-Methode sendet die Anmeldeinformationen im Klartext, während die Digest-Methode einen Hash-Wert verwendet¹.
- Sie müssen dann die vordefinierten Variablen $_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'] und $_SERVER['AUTH_TYPE'] verwenden, um den eingegebenen Benutzernamen, das Passwort und die Authentifizierungsmethode zu erhalten. Sie müssen diese Werte dann mit den gültigen Werten vergleichen, die Sie in Ihrer Datenbank oder Datei gespeichert haben¹.
- Wenn die Anmeldeinformationen korrekt sind, können Sie den Benutzer auf die geschützte Seite oder den Inhalt weiterleiten oder ihm Zugriff gewähren. Wenn die Anmeldeinformationen falsch sind oder der Benutzer auf Abbrechen klickt, können Sie eine Fehlermeldung anzeigen oder ihn auf eine andere Seite umleiten¹.
Sie können einige Beispiele für die PHP-Authentifizierung mit der Basic- oder Digest-Methode in der offiziellen PHP-Dokumentation¹ oder in diesem Tutorial² finden. Beachten Sie jedoch, dass die PHP-Authentifizierung einige Einschränkungen und Nachteile hat, wie zum Beispiel:
- Die PHP-Authentifizierung ist vom Browser abhängig und kann je nach Browser unterschiedlich aussehen oder funktionieren¹.
- Die PHP-Authentifizierung bietet keine Möglichkeit, sich abzumelden oder die Sitzung zu beenden. Der Browser speichert die Anmeldeinformationen bis zum Schließen des Fensters oder Tabs¹.
- Die PHP-Authentifizierung kann nicht mit Cookies oder Sessions kombiniert werden, um den Benutzerstatus zu speichern oder zu verfolgen¹.
- Die PHP-Authentifizierung kann leicht durch Man-in-the-Middle-Angriffe oder Brute-Force-Angriffe kompromittiert werden, wenn sie nicht mit einer sicheren Verbindung wie HTTPS verwendet wird².
Aus diesen Gründen kann es sinnvoller sein, eine andere Form der Authentifizierung zu verwenden, die mehr Kontrolle und Flexibilität bietet, wie zum Beispiel eine PHP-basierte Formularauthentifizierung oder eine OAuth-basierte Authentifizierung mit einem externen Dienst wie Google oder Facebook².
Ich hoffe, diese Antwort hilft Ihnen zu verstehen, wie Sie die PHP-Authentifizierung verwenden können. Wenn Sie weitere Fragen haben, können Sie mich gerne fragen.
Quelle: Unterhaltung mit Bing, 22.8.2023
(1) PHP: HTTP-Authentifizierung mit PHP - Manual. https://www.php.net/manual/de/features.http-auth.php.
(2) Authentifizierung in PHP – PHP lernen. https://www.php-einfach.de/experte/php- ... ng-in-php/.
(3) PHP: HTTP authentication with PHP - Manual. https://www.php.net/manual/en/features.http-auth.php.
8<-
Ich baue keine PHP-Authentifizierung ein.
ich verwende keine OAuth-basierte Authentifizierung.
Wer sich abmelden möchte, sollte seinen Browser schließen.
- Das Logout-Script basiert auf der Idee, dass wir eine ungültige Benutzername/Passwort-Kombination an den Server senden, um die HTTP-Authentifizierung zu beenden. Dies ist jedoch keine zuverlässige Methode, da der Browser möglicherweise immer noch die ursprünglichen Anmeldeinformationen speichert und erneut sendet. Außerdem kann der Browser einen Dialog anzeigen, der den Benutzer fragt, ob er sich als logout anmelden möchte, was verwirrend oder unerwünscht sein kann.
- Das Logout-Script verwendet die http_response_code-Funktion, um den Statuscode auf 403 (Forbidden) zu setzen. Dies ist jedoch nicht notwendig und kann sogar kontraproduktiv sein, da der Server möglicherweise einen WWW-Authenticate-Header sendet, der den Browser auffordert, einen Anmeldedialog anzuzeigen. Dies kann mit der header_remove-Funktion verhindert werden, aber es ist einfacher, einfach den Statuscode auf 302 (Found) zu lassen, der für eine Umleitung verwendet wird.
- Das Logout-Script verwendet die header-Funktion, um den Cache-Control-Header auf no-store zu setzen. Dies ist eine gute Praxis, um zu verhindern, dass der Browser die Seite zwischenspeichert und den Benutzer ohne Anmeldung wieder auf die geschützte Seite bringt. Allerdings sollten Sie auch andere Header setzen, die das Caching beeinflussen können, wie Expires und Pragma³.
Eine Alternative für das Logout-Script wäre, die PHP-Authentifizierung anstelle der .htaccess-Authentifizierung zu verwenden
8<-
Die PHP-Authentifizierung ist eine Methode, um den Zugriff auf bestimmte Seiten oder Inhalte auf einer Website zu beschränken, indem Sie die Benutzer auffordern, einen Benutzernamen und ein Passwort einzugeben. Es gibt verschiedene Möglichkeiten, wie Sie die PHP-Authentifizierung verwenden können, je nachdem, wie Sie Ihre Website gestalten und welche Anforderungen Sie haben. Hier sind einige allgemeine Schritte, die Sie befolgen können:
- Sie müssen zuerst entscheiden, welche Seiten oder Inhalte Sie schützen wollen und wie Sie die Benutzer identifizieren und autorisieren wollen. Sie können zum Beispiel eine Datenbank verwenden, um die Benutzerdaten zu speichern, oder eine Datei wie .htpasswd oder .htaccess verwenden, um die Zugriffsregeln zu definieren.
- Sie müssen dann die header-Funktion von PHP verwenden, um dem Browser mitzuteilen, dass er eine HTTP-Authentifizierung anfordern soll. Sie können entweder die Basic- oder die Digest-Methode verwenden, je nachdem, wie sicher Sie die Übertragung der Anmeldeinformationen machen wollen. Die Basic-Methode sendet die Anmeldeinformationen im Klartext, während die Digest-Methode einen Hash-Wert verwendet¹.
- Sie müssen dann die vordefinierten Variablen $_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'] und $_SERVER['AUTH_TYPE'] verwenden, um den eingegebenen Benutzernamen, das Passwort und die Authentifizierungsmethode zu erhalten. Sie müssen diese Werte dann mit den gültigen Werten vergleichen, die Sie in Ihrer Datenbank oder Datei gespeichert haben¹.
- Wenn die Anmeldeinformationen korrekt sind, können Sie den Benutzer auf die geschützte Seite oder den Inhalt weiterleiten oder ihm Zugriff gewähren. Wenn die Anmeldeinformationen falsch sind oder der Benutzer auf Abbrechen klickt, können Sie eine Fehlermeldung anzeigen oder ihn auf eine andere Seite umleiten¹.
Sie können einige Beispiele für die PHP-Authentifizierung mit der Basic- oder Digest-Methode in der offiziellen PHP-Dokumentation¹ oder in diesem Tutorial² finden. Beachten Sie jedoch, dass die PHP-Authentifizierung einige Einschränkungen und Nachteile hat, wie zum Beispiel:
- Die PHP-Authentifizierung ist vom Browser abhängig und kann je nach Browser unterschiedlich aussehen oder funktionieren¹.
- Die PHP-Authentifizierung bietet keine Möglichkeit, sich abzumelden oder die Sitzung zu beenden. Der Browser speichert die Anmeldeinformationen bis zum Schließen des Fensters oder Tabs¹.
- Die PHP-Authentifizierung kann nicht mit Cookies oder Sessions kombiniert werden, um den Benutzerstatus zu speichern oder zu verfolgen¹.
- Die PHP-Authentifizierung kann leicht durch Man-in-the-Middle-Angriffe oder Brute-Force-Angriffe kompromittiert werden, wenn sie nicht mit einer sicheren Verbindung wie HTTPS verwendet wird².
Aus diesen Gründen kann es sinnvoller sein, eine andere Form der Authentifizierung zu verwenden, die mehr Kontrolle und Flexibilität bietet, wie zum Beispiel eine PHP-basierte Formularauthentifizierung oder eine OAuth-basierte Authentifizierung mit einem externen Dienst wie Google oder Facebook².
Ich hoffe, diese Antwort hilft Ihnen zu verstehen, wie Sie die PHP-Authentifizierung verwenden können. Wenn Sie weitere Fragen haben, können Sie mich gerne fragen.
Quelle: Unterhaltung mit Bing, 22.8.2023
(1) PHP: HTTP-Authentifizierung mit PHP - Manual. https://www.php.net/manual/de/features.http-auth.php.
(2) Authentifizierung in PHP – PHP lernen. https://www.php-einfach.de/experte/php- ... ng-in-php/.
(3) PHP: HTTP authentication with PHP - Manual. https://www.php.net/manual/en/features.http-auth.php.
8<-
Ich baue keine PHP-Authentifizierung ein.
ich verwende keine OAuth-basierte Authentifizierung.
Wer sich abmelden möchte, sollte seinen Browser schließen.
Re: MyOOS Dumper 5.0.22
Das ist ja jetzt auch schon so. Also ändert sich quasi nichts bzgl. Ausloggen, verstehe ich das richtig?Wer sich abmelden möchte, sollte seinen Browser schließen.
Re: MyOOS Dumper 5.0.22
Es gibt einen Abmeldelink. Wenn man den klickt, kann es zu einem Browser Dialog kommen. Der Browser fragt dann zum Beispiel, möchten Sie sich wirklich als Logout anmelden oder ähnlich. Wer da sich nicht für Ja entscheiden kann - für den ändern sich nichts.
Ich bekomme den Dialog nicht beseitigt.
Für die Anderen erfolgt eine Abmeldung. Wenn die Verwirrung zu groß wird, lösche ich den Abmeldelink
Ich bekomme den Dialog nicht beseitigt.
Für die Anderen erfolgt eine Abmeldung. Wenn die Verwirrung zu groß wird, lösche ich den Abmeldelink
Re: MyOOS Dumper 5.0.22
Hallo
bei der MyOOS Dumper 5.0.22 habe ich leider die Funktion filter_input eingebaut.
Es scheint, dass die Funktion filter_input in einigen Fällen leere Ergebnisse zurückgeben kann, wenn der Anwender die FastCGI-SAPI verwendet. Dies kann durch die Einstellung auto_globals_jit in der php.ini verursacht werden. Um dieses Problem zu beheben, kann man versuchen, auto_globals_jit zu deaktivieren oder die PHP-FPM-SAPI zu verwenden.
Todo: wir bauen die filter_input aus.
Beste Grüße
Ralf
bei der MyOOS Dumper 5.0.22 habe ich leider die Funktion filter_input eingebaut.
Es scheint, dass die Funktion filter_input in einigen Fällen leere Ergebnisse zurückgeben kann, wenn der Anwender die FastCGI-SAPI verwendet. Dies kann durch die Einstellung auto_globals_jit in der php.ini verursacht werden. Um dieses Problem zu beheben, kann man versuchen, auto_globals_jit zu deaktivieren oder die PHP-FPM-SAPI zu verwenden.
Todo: wir bauen die filter_input aus.
Beste Grüße
Ralf
Re: MyOOS Dumper 5.0.22
Hallo,
ich habe mir eclipse-php-2023-06 installiert und Verbesserungsvorschläge übernommen.
Die Änderungen habe ich auch visualappeal\php-auto-update vorgeschlagen.
Viele Grüße
Ralf
ich habe mir eclipse-php-2023-06 installiert und Verbesserungsvorschläge übernommen.
Die Änderungen habe ich auch visualappeal\php-auto-update vorgeschlagen.
Viele Grüße
Ralf
Re: MyOOS Dumper 5.0.22
Hallo,
ich optimiere weiter den PHP Code automatisch.
ich habe PHP Code Sniffer mit Composer installiert und einen Test durchgeführt.
Anschließend "PHPCBF CAN FIX THE xx MARKED SNIFF VIOLATIONS AUTOMATICALLY" durchgeführt.
https://github.com/r23/MyOOS-Dumper/com ... 4d7edf4c15
Viele Grüße
Ralf
ich optimiere weiter den PHP Code automatisch.
ich habe PHP Code Sniffer mit Composer installiert und einen Test durchgeführt.
Anschließend "PHPCBF CAN FIX THE xx MARKED SNIFF VIOLATIONS AUTOMATICALLY" durchgeführt.
https://github.com/r23/MyOOS-Dumper/com ... 4d7edf4c15
Viele Grüße
Ralf
Re: MyOOS Dumper 5.0.22
Unter Windows musste ich XAMPP neu installieren, da der MySQL nicht mehr starten wollte.
nach der Konfiguration der PHP.INI erhalte ich unter Windows die Fehlermeldung
Fatal error: Uncaught UnexpectedValueException: JIT on Windows is not currently supported in ~/modvendor/phpseclib/phpseclib/phpseclib/bootstrap.php:28 Stack trace: #0 ~/modvendor/composer/autoload_real.php(39): require() #1 ~/modvendor/composer/autoload_real.php(43): {closure}('decc78cc4436b12...', 'C://xampp//htdocs...') #2 ~/modvendor/autoload.php(25): ComposerAutoloaderInit9b5196c02ee9dee139878328194da654::getLoader() #3 ~/modinc/functions_global.php(50): include_once('C://xampp//htdocs...') #4 ~/modinc/functions.php(23): include('C://xampp//htdocs...') #5 ~/modindex.php(25): require('C://xampp//htdocs...') #6 {main} thrown in ~/modvendor/phpseclib/phpseclib/phpseclib/bootstrap.php on line 28
Lösung:
Hallo, das ist Bing. Ich kann Ihnen helfen, Ihre Frage zu beantworten.
Die Fehlermeldung, die Sie erhalten, bedeutet, dass die phpseclib-Bibliothek, die Sie verwenden, nicht mit der JIT-Funktion von PHP 8 kompatibel ist. JIT steht für Just-in-Time-Kompilierung und ist eine neue Funktion, die die Leistung von PHP verbessern soll¹. Allerdings ist JIT auf Windows noch nicht unterstützt, weil es einige Fehler hat². Deshalb wirft phpseclib eine Ausnahme, wenn es versucht, JIT zu aktivieren³.
Um dieses Problem zu lösen, haben Sie zwei Möglichkeiten:
- Sie können die phpseclib-Version auf 3.0.21 oder niedriger zurücksetzen, die noch nicht versucht hat, JIT zu aktivieren⁴. Dazu müssen Sie in Ihrer composer.json-Datei die Zeile `"phpseclib/phpseclib": "^3.0"` ändern in `"phpseclib/phpseclib": "3.0.21"` und dann `composer update` ausführen.
- Sie können die JIT-Funktion von PHP 8 deaktivieren, indem Sie in Ihrer php.ini-Datei die Zeile `opcache.jit_buffer_size=100M` ändern in `opcache.jit_buffer_size=0` und dann Ihren Webserver neu starten.
Ich hoffe, das hilft Ihnen weiter. Wenn Sie weitere Fragen haben, können Sie mich gerne fragen.
Quelle: Unterhaltung mit Bing, 16.10.2023
(1) Fatal Error: Upgrading phpseclib/phpseclib (3.0.21 => 3.0.22) - GitHub. https://github.com/phpseclib/phpseclib/issues/1941.
(2) phpseclib 2.0 not working after including autoload.php. https://stackoverflow.com/questions/608 ... toload-php.
(3) JIT on Windows is currently not supported in phpseclib #10223 - GitHub. https://github.com/vimeo/psalm/issues/10223.
(4) undefined. http://phpseclib.sourceforge.net/2.0.html.
Wir gehen bei dem MyOOS zurück auf phpseclib/phpseclib": "3.0.21"
Viele Grüße
Ralf
nach der Konfiguration der PHP.INI erhalte ich unter Windows die Fehlermeldung
Fatal error: Uncaught UnexpectedValueException: JIT on Windows is not currently supported in ~/modvendor/phpseclib/phpseclib/phpseclib/bootstrap.php:28 Stack trace: #0 ~/modvendor/composer/autoload_real.php(39): require() #1 ~/modvendor/composer/autoload_real.php(43): {closure}('decc78cc4436b12...', 'C://xampp//htdocs...') #2 ~/modvendor/autoload.php(25): ComposerAutoloaderInit9b5196c02ee9dee139878328194da654::getLoader() #3 ~/modinc/functions_global.php(50): include_once('C://xampp//htdocs...') #4 ~/modinc/functions.php(23): include('C://xampp//htdocs...') #5 ~/modindex.php(25): require('C://xampp//htdocs...') #6 {main} thrown in ~/modvendor/phpseclib/phpseclib/phpseclib/bootstrap.php on line 28
Lösung:
Hallo, das ist Bing. Ich kann Ihnen helfen, Ihre Frage zu beantworten.
Die Fehlermeldung, die Sie erhalten, bedeutet, dass die phpseclib-Bibliothek, die Sie verwenden, nicht mit der JIT-Funktion von PHP 8 kompatibel ist. JIT steht für Just-in-Time-Kompilierung und ist eine neue Funktion, die die Leistung von PHP verbessern soll¹. Allerdings ist JIT auf Windows noch nicht unterstützt, weil es einige Fehler hat². Deshalb wirft phpseclib eine Ausnahme, wenn es versucht, JIT zu aktivieren³.
Um dieses Problem zu lösen, haben Sie zwei Möglichkeiten:
- Sie können die phpseclib-Version auf 3.0.21 oder niedriger zurücksetzen, die noch nicht versucht hat, JIT zu aktivieren⁴. Dazu müssen Sie in Ihrer composer.json-Datei die Zeile `"phpseclib/phpseclib": "^3.0"` ändern in `"phpseclib/phpseclib": "3.0.21"` und dann `composer update` ausführen.
- Sie können die JIT-Funktion von PHP 8 deaktivieren, indem Sie in Ihrer php.ini-Datei die Zeile `opcache.jit_buffer_size=100M` ändern in `opcache.jit_buffer_size=0` und dann Ihren Webserver neu starten.
Ich hoffe, das hilft Ihnen weiter. Wenn Sie weitere Fragen haben, können Sie mich gerne fragen.
Quelle: Unterhaltung mit Bing, 16.10.2023
(1) Fatal Error: Upgrading phpseclib/phpseclib (3.0.21 => 3.0.22) - GitHub. https://github.com/phpseclib/phpseclib/issues/1941.
(2) phpseclib 2.0 not working after including autoload.php. https://stackoverflow.com/questions/608 ... toload-php.
(3) JIT on Windows is currently not supported in phpseclib #10223 - GitHub. https://github.com/vimeo/psalm/issues/10223.
(4) undefined. http://phpseclib.sourceforge.net/2.0.html.
Wir gehen bei dem MyOOS zurück auf phpseclib/phpseclib": "3.0.21"
Viele Grüße
Ralf
