Mal ne Frage zu den Loginscripts

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Mal ne Frage zu den Loginscripts

    Eigentlich schon fast verschwendung dafür nen Thread zu öffnen aber wen sollte ich sonst fragen.

    Also, ich bau mir gerade ein Loginscript auf der Basis von Sessions. Ok, nun wandert in den Sessionarray der Benutzername, das PW und natürlich die SessionID.

    Muss ich nun auf jeder Seite, die zu dem geschützten Bereich gehört, in etwa sowas einsetzen, damit ich die Seiten schützen kann?

    PHP-Code:
    $sqlbefehl="SELECT username,passwort,sessid FROM user WHERE username = '$username' AND passwort='$passwort' AND sessid='$sessid'";
    $sqlanfrage=mysql_query($sqlbefehl) or die("Error: " mysql_error());
    if(
    mysql_num_rows($sqlanfrage) == 1)
     {
        echo 
    "Jo, du bist drin";
     }
    else
     {
        echo 
    "Du hast dich noch nicht angemeldet";
     } 

    Oder gibt es da womöglich eine einfacherere Lösung?

  • #2
    1. würde ich das pw NIEMALS mit in der session speichern.

    2. sollte das pw in der DB md5()-verschlüsselt liegen.

    3. reicht es, wenn du nur die session_id() auf jeder seite prüfst.
    INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


    Kommentar


    • #3
      Hallo
      Ich habe das wie folgt gelöst:

      PHP-Code:
      <?php
      session_start
      ();
      if(!
      session_is_registered('benutzer') || $_SESSION['benutzer'] == "") {
          
      header("location:index.php");
          die;
          }
      //...
      Das bedeutet soviel wie: Wenn die Sessionvariable "benutzer" noch nicht registriert ist oder die Variable leer ist, wird der Benutzer direkt zum Login-Bereich zurückgeleitet und das Skript abgebrochen.

      cyberscout

      Kommentar


      • #4
        cool, danke. die idee is nicht schlecht. sollte man womöglich am beginn der session die id und die ip in die sql-db wandern lassen und von dort aus vergleichen?

        oder ist das mit der ip nur was für paranoide?

        aber ich lös das wohl erstmal wie cyberscout.

        danke nochmal für den tipp

        Kommentar


        • #5
          Original geschrieben von Aurelius
          oder ist das mit der ip nur was für paranoide?
          für paranoide aol-hasser...

          die session-id reicht, um den benutzer zu identifizieren
          Ich denke, also bin ich. - Einige sind trotzdem...

          Kommentar

          Lädt...
          X