Login Tutorial

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Login Tutorial

    Hallo alle zusammen,

    ich finde das Tutorial

    http://www.php-resource.de/tutorials/read/38/1/

    sehr gut, kann den Autor aber nicht mehr hier finden und hätte noch drei kleine Fragen, die ihr mir sicherlich dazu beantworten könnt:

    A) wie sicher stuft ihr das ganze ein
    B) kann ich irgendwo eine Information hinterlegen, welche ich dann in Links in seinem Login Bereich nutzen kann. Ich mache ein Beispiel - es gibt einen Bereich da steht dann (ähnlich wie in my ebay) Meine Daten ändern. Dies würde ich dann gerne mit dem aus der Datenbank füttern, dass der Link wie folgt aussieht: <a href='meinedaten.php?id=der_wert_den_ich_meine'>, sodass ich in der meinedaten.php sagen kann UPDATE so und so WHERE id=$id. Vielleicht ein wenig blöd formuliert, aber ich hoffe ihr versteht dennoch was ich meine ^^
    C) wie sieht es mit dem Script aus, wenn sich jemand NICHT ausloggt. Beim schließen des Fensters ist es dann spätestens erledigt oder?

    Ich danke euch vielmals vorab für eure Einschätzungen und Hilfen!

    Gruß
    Daniel
    Wissen ist Macht - nichts wissen macht nichts!

  • #2
    http://php-resource.de/forum/member....fo&userid=4449 hats geschrieben.

    Kommentar


    • #3
      happy ist schon länger inaktiv. :-(
      INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


      Kommentar


      • #4
        C) wie sieht es mit dem Script aus, wenn sich jemand NICHT ausloggt. Beim schließen des Fensters ist es dann spätestens erledigt oder?
        Solange die Session ID gültig ist gilt der User als eingeloggt! Du kannst aber z.B. eine Ablaufzeit der Session in der DB definieren und diese Ablaufzeit bei jeder Aktion des Users um x Minuten verlängern. Wenn diese Zeit überschritten ist, dann wird die Session ID geknickt und der User muss sich beim Wiederkommen neu anmelden.
        A) wie sicher stuft ihr das ganze ein
        Absolute Sicherheit kann es nicht geben und solange im Code darauf geachtet wird, Usereingaben vor dem Eintrag in die DB zu entschärfen, ist das grösste Sicherheitsrisiko ausgeschaltet oder zumindest minimiert.
        Und wenn der Code auch mit register_globals auf OFF läuft, dann hast du die grössten Risiken wirklich ausgeschaltet.

        Gruss

        tobi
        Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

        [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
        Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

        Kommentar


        • #5
          Hallo danix
          Zu B:
          Du willst bestimmt das der User sein password oder auch noch andere Daten ändern kann.

          Mach dir ein Link zb. account ändern verweis den zu account.php
          dann mach dir eine Datein account.php das wird dein fomular wo der User seine daten einträgt:
          coode account.php
          PHP-Code:
          <?php 
          // soll ja nicht jeder die Daten ändern können
          // ACHTUNG UserName muss mit session_register['UserName']
          // registriert sein am besten bei der loggin auswertungs Datei machen.
          if(isset($_SESSION["UserName"])) 

              {    
              echo
          '
              
                      <h3>
                      '
          .$_SESSION['UserName'].' hier kannst du dein Password &auml;ndern
                      </h3>
                      <div id="für das css">
                          <form method="post" 
                          action="account_auswertung.php">
          '
          ;
          //das fomular werten wir ja aus also dahin schicken
          // Den UserNamen weist du ja, spaar ihm damit ein feld zum 
          //ausfüllen
          echo'
          User Name:        '
          .$_SESSION['UserName'].'            
          UserPass:        <input class="css" type="password" size="24" maxlength="50"
                  name="userpass" />
          Neuen UserPass:        <input class="css" type="password" size="24" maxlength="50"
                  name="n_userpass" />
                          
          <input class="css" type="submit" value="Daten &auml;ndern" name="userpass_aendern"/>
                              
                          </form>
                      </div>
                  
              '
          ;
              }
          // wenn jemand linkmanipulationen macht
              
          else
              {
              echo
          '
              <h3>
              Du keine Rechte die Seite anzuzeigen !!!!        
              </h3>
          '
          ;
          // in 5sec zur index seite weiterleiten
          echo'
              <Meta HTTP-EQUIV="Refresh"content="5;URL=index.php" />
              '
          ;
              }
          ?>
          so die Datei wär fertich
          noch ne loggout funktion, wenn du die schon hast must du sie nicht machen, nur halt dann aufrufen siehe weiter untern
          PHP-Code:
          function out()
          {
          session_destroy();

          nun zu auswertung:
          mach dir eine Datein zb. account_auswertung.php
          PHP-Code:


          <?php 
          // funktion includen, kannst auch in deiner index Seite includen, kommt drauf an wie deine Site aufgebaut ist
          include('pfad zu deiner funktion');
          // Wenn der Button mit dem namen: userpass_aendern gedrückt wurde
          if(isset($_POST['userpass_aendern']))
          {
          //der der eingeloogt ist, in die Variable $username speichern
          // ACHTUNG UserName muss mit session_register['UserName']
          // registriert sein 
          $username $_SESSION['UserName'];
          // brauchen wir weiter unten
          $userpass_a $_POST["userpass"]; 
          // wenn dein password in deiner Datenbank tabelle mit md5 verschlüsselt ist
          $userpass md5($userpass_a);
          // das neue Passwort in $n_userpass speichern
          $n_userpass $_POST["n_userpass"];
          // und verschlüsseln
          $n_userpass md5($n_userpass);

          // zum testen kannst hier mit echo mal die Variablen abfragen

          //wenn das eingegebene Passwort auch das vom User ist und das eingegebene 
          //neue passwort nicht leer ist
          // ACHTUNG $_SESSION["UserPass"] UserPass muss registriert sein

              
          if(($userpass == $_SESSION["UserPass"]) && ($n_userpass != ''))
              {
              
          $abfrage "SELECT * FROM MeineTabelle
                          WHERE 
                              UserName 
                          LIKE 
                              '
          $username' LIMIT 1"
              
          $ergebnis mysql_query($abfrage); 
              
          $row mysql_fetch_object($ergebnis); 
                      
              
          $a_id=$row->id;
                  
              
          $aendern "UPDATE MeineTabelle
              SET
                  UserPass = '
          $n_userpass
              WHERE 
                  id = '
          $a_id
                  "
          ;
              
          mysql_query($aendern);        
                  
                  if(
          $aendern == true
                  { 
                  echo
          '
                  '
          .$_SESSION['UserName'].' Dein Password wurde erfolgreich
                  ge&auml;ndert.<br />
                  In 5sec kommst du zur Loggin Seite und kannst dich neu
                  einloggen
                  
                  <Meta HTTP-EQUIV="Refresh"content="5;
                  URL=?oben=60&amp;section=60&amp;unten=10" />
                  '
          ;
                  
          out();
                  }
                  else echo 
          ' Beim eintragen ging was schief';

              }
          // ##############    Abfragen falls Fehler auftreten #################
              
          if(($userpass =='') || ($n_userpass == ''))
              { 
              echo

                  Eingabefehler: Bitte alle Felder korekt ausfüllen. <br />
                  <a href="account.php">    
                      Zum password &auml;ndern:
                      </a> 
              '


              }
              if((
          $userpass != $_SESSION["UserPass"]) && ($n_userpass != ''))
              { 
          // Wenn das eingegebene Passwort nicht mit dem registrierten übereinstimmt, den fehler auch dem User zeigen mit der Variable
          //$userpass_a
          echo'
              '
          .$_SESSION['UserName'].' du hast als UserPass: '.$userpass_a.'     
                  eingetragen. Gib bitte dein richtiges UserPass ein
                  <a href="index.php?oben=70&amp;section=70">    
                      Zum password &auml;ndern:
                      </a>  
              '
          ;}

          }
          ?>
          So das war es dann schon must vieleicht noch etwas umändern,
          aber so ungefähr müste es gehn.
          Hoffe dir geholfen zu haben.

          LG
          Schyla

          Kommentar


          • #6
            @Schyla
            So mal als konstruktive Kritik des Ganzen

            1. session_register() ist veraltet und sollte nicht mehr verwendet werden
            2. Warum das
            PHP-Code:
            $userpass_a $_POST["userpass"]; 
            // wenn dein password in deiner Datenbank tabelle mit md5 verschlüsselt ist
            $userpass md5($userpass_a);
            //und nicht einfach
            $userpass md5($_POST['userpass']); 
            3. vor dem Verwenden von POST oder GET Vars prüfen ob diese überhaupt gesetzt sind (gibt sonst u.U. komische Fehlermeldungen)
            4. SELECT * bei einer SQL Abfrage wo du nur ein bestimmtes Feld willst ist nicht gut. Stell dir mal vor du speicherst in der DB noch einen BLOB mit einem Useravatar. Den würdest du jedesmal mit auslesen obwohl du ihn überhaupt nicht brauchst. Auch wenn du mehrere Felder haben willst, solltest du diese beim SELECT immer explizit angeben und nicht einfach * verwenden.
            5. Die id in einer MySql Tabelle (zumindest wenn es der Primary Key ist) ist immer ein Integer. Also keine ' und ' darumherum
            6. Sollte ich in meinem Browser Cookies nicht akzeptieren, dann funzt dein ganzer Code nicht mehr!
            7. Wenn du mit Sessions arbeiten willst, dann muss irgendwo auch ein session_start() stehen. Sehe ich in deinem Code aber nicht.
            8. Warum arbeitest du mit LIKE und ohne Platzhalter? Da könntest du gerade so gut
            PHP-Code:
            $abfrage "SELECT id FROM MeineTabelle
                            WHERE 
                                UserName='
            $username' LIMIT 1"
            schreiben. imho macht es eh keinen Sinn hier mit LIKE zu arbeiten. Wenn der User seinen Namen nicht kennt, dann soll er auch sein PW nicht ändern können. Und wenn schon mit LIKE dann musst du auch das alte Passwort noch mit einbeziehen, um den Datensatz eindeutig zu identifizieren.


            Gruss

            tobi
            Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

            [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
            Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

            Kommentar


            • #7
              Hallo @jahlives

              Mal ganz grob zu meiner Site etwas:
              Ich hab eine MasterSite, index.php dort werden alle Dateien includet, (aufgerufen wenn sie benötigt werden) zb.
              (index.php?inhalt=20)
              in der index.php steht als erstes session_start();

              zu1:
              session_register() ist veraltet schreibst du, was kann ich statt desen schreiben.
              Beispiel:
              bei mir loggt sich ein User ein:
              mit dem einloggen speicher ich sein UserNamen mit
              session_register('UserName')
              egal wo er nun auf meine Site navigiert ich kann immer sein UserNamen abfragen.

              zu4:
              werd ich in zukunft dann so schreiben

              PHP-Code:
              $abfrage "SELECT id FROM MeineTabelle
                              WHERE 
                                  UserName = '
              $username'
                               LIMIT 1"

              zu5:
              sollte dann so ausschauen?
              PHP-Code:
              $aendern "UPDATE MeineTabelle
                  SET
                      UserPass = '
              $n_userpass
                  WHERE 
                      id = 
              $a_id 
                      "

              Da ich noch Anfängerin bin, wär ich dir sehr dankbar wenn du mir verrätst, wie ich das mit dem session_register anders machen kann.

              LG
              Schyla

              Kommentar


              • #8
                Anstatt
                PHP-Code:
                session_register('UserName'); 
                einfach
                PHP-Code:
                $_SESSION['UserName'] = 'wert'
                schreiben

                Gruss

                tobi
                Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                Kommentar


                • #9
                  Hallo @jahlives

                  $_SESSION['UserName'] = 'wert';
                  hmm, auf einmal klappt das danke,
                  ich muss da irgendwas verkehrt im coode geschrieben haben,
                  hatte das so gehabt:

                  PHP-Code:
                  $_SESSION['UserName'] = '$UserName';
                  session_register['UserName']; 
                  hab nun das ganze session_register rausgenommen und alles geht.

                  Aber das klappt nicht:

                  PHP-Code:
                  $abfrage "SELECT id FROM MeineTabelle
                                  WHERE 
                                      UserName = '
                  $username'
                                   LIMIT 1"

                  eigendlich auch klar, er hat die id und den UserNamen
                  aber wenn ich den UserPass haben möchte zeigt er den ja nicht an.
                  müste ich so schreiben
                  PHP-Code:
                  $abfrage "SELECT UserPass FROM MeineTabelle
                                  WHERE 
                                      UserName = '
                  $username'
                                   LIMIT 1"

                  da ich aber mehr Daten wissen möchte muss ich es so schreiben
                  PHP-Code:
                  $abfrage "SELECT UserPass, UserLevel, UserMail FROM MeineTabelle
                                  WHERE 
                                      UserName = '
                  $username'
                                   LIMIT 1"

                  nochmal Danke für das session_register

                  LG
                  Schyla

                  Kommentar


                  • #10
                    Was soll denn das werden?

                    PHP-Code:
                    $_SESSION['UserName'] = '$UserName'
                    Mal scharf nachdenken!

                    Kommentar


                    • #11
                      vielleicht heißt der User ja '$UserName'
                      signed oder unsigned... das ist hier die Frage

                      Kommentar


                      • #12
                        Hallo asp2php

                        müste so ausschauen hab mich da etwas vertahn.

                        PHP-Code:
                        $UserName $_SESSION['UserName'] ; 

                        Kommentar


                        • #13
                          müste so ausschauen hab mich da etwas vertahn.
                          Und was bringt es eine Session Var auf eine "normale" Var zu speichern? Ausser Verschwendung von Ressourcen??
                          Ich vermute du willst das
                          PHP-Code:
                          $_SESSION['UserName'] = $UserName
                          Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                          [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                          Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                          Kommentar


                          • #14
                            Hallo @ jahlives

                            genau hast hast recht, hab mich da mal wieder vertahn

                            PHP-Code:
                            $_SESSION['UserName'] = $UserName
                            so hauts nun hin

                            Kommentar

                            Lädt...
                            X