Problem mit Loginscript

**combie** · 29.05.2008, 09:35

Also....:
Wofür soll das Javascript gut sein?
Ein Login auf JS Basis, neeee....

Wozu speicherst du die SessionID in der DB?

Möchte jetzt aber nicht so viel in die Session schreiben.

Ja, nee, klar, ist logisch......

Lieber die wichtigen Daten den unsicheren Weg über den Browser nehmen lassen.

**Picard_Jean-Luc** · 29.05.2008, 10:58

Wofür soll das Javascript gut sein?

Damit leite ich die Seite nur wieder auf eine andere mehr nicht.
Das ist auch nicht das Problem.

Wozu speicherst du die SessionID in der DB?

Habe ich so dem Script am Anfang entnommen. Sah mir sehr sich er aus bzw. ist es doch nicht schlimm die aktuelle SessionID mit der in der DB zu vergleichen oder?

Ist das Script sicher bzw. reicht es aus?

**combie** · 29.05.2008, 11:28

ist es doch nicht schlimm die aktuelle SessionID mit der in der DB zu vergleichen oder?

Tja..
Ich bin ja der Meinung, das ein regelmäßig eingesetztes session_regenerate_id() die SID Diebe in Zeitnot bringt. Das Verfahren kannst du dann natürlich knicken.

Und die JS Weiterleitungen sind, nunja, überflüssig. Scheinbar funktioniert dein System nicht ohne. Das halte ich für recht übel.

Warum nicht so, oder so ähnlich:

PHP-Code:


if(empty($_SESSION['userid']))

{

   include "dasWasJederSehenDarf.php";

}else

{

   include "geschützterBereich.php";

}

**jahlives** · 29.05.2008, 11:32

So, jetzt habe ich das Problem, wenn man auf der Loginseite keine Daten oder falsche Daten eingibt dann erscheint nur die Logonseite nochmal

Also wenn du keine Daten angibst: Warum sollte ein false zurückkommen? Das gibt höchstens PHP Fehler weil du versuchst auf nicht definierte Vairablen zuzugreifen. Wenn du ein false haben willst dann musst du in diesem Fall zu Anfang der Funktion die Parameter prüfen z.B.

PHP-Code:


function check_user ( $name, $pass )

{

  if(!isset($name) || !isset($pass)){

    return false;

  }

[...]

Und die folgende Zeile kann auch fehlerträchtig sein

PHP-Code:


if ($userid!=false)

Wenn die Funktion int 0 zurückgibt wird das dieser Vergleich als false auswertet! Verwende den !== resp === Operator wenn der Datentyp übereinstimmen MUSS.

**Picard_Jean-Luc** · 29.05.2008, 11:49

Jo hast recht.
Die Bedingung die du da hast hatte ich auch schon drin.

Das mit dem Include probier ich mal ;-)

Ok und die letzte Bedingung hast du recht.
Ich sollte noch mit überprüfen das die ID != "" || !=0 ist
Damit sollte das auch wege sein oder?

Ich dachte es ist sicher wenn ich die Session nochmal mit der DB abgleiche.
Deswegen habe ich das script genommen...

**jahlives** · 29.05.2008, 12:29

Ich sollte noch mit überprüfen das die ID != "" || !=0 ist

Also gemäss deiner Funktion kann die Rückgabe nur false oder ein Integer sein (id aus der DB). Ich würde das so prüfen

PHP-Code:


if($id !== false){

  //Rückgabe ist was anderes als false --> es wurde in der DB etwas gefunden

**Picard_Jean-Luc** · 29.05.2008, 12:32

Ah ok, so hätte ich es garnicht gemacht.

Sieht eigenartig aus.

"!==" das vorallen! Ich werde es mal testen.
Was ja auch nicht sein darf ist das eine 0 raus kommt.
Das müsste ich ja auch noch abfangen!?!

**TobiaZ** · 29.05.2008, 12:39

Original geschrieben von jahlives
Wenn die Funktion int 0 zurückgibt wird das dieser Vergleich als false auswertet! Verwende den !== resp === Operator wenn der Datentyp übereinstimmen MUSS.

Warum sollte 0 eine gültige User-ID sein?

Original geschrieben von Picard_Jean-Luc
Was ja auch nicht sein darf ist das eine 0 raus kommt.

Ja, der Meinung bin ich auch!

**jahlives** · 29.05.2008, 12:54

Warum sollte 0 eine gültige User-ID sein?

Es ging mir hier mehr um's Allgemeine

Es ist imho einfach sauberer auch den Type zu prüfen, wenn eine Fkt etwas zurückgibt. In diesem Fall wird kein int 0 zurückkommen, aber der TS kann ja die Rückgabe irgendwann mal ändern.
@TS
z.B. dieser Code

PHP-Code:


$string = 'Ich bin ein String';

$suche = 'Ich';

$res = strpos($string,$suche);

if($res != false){

  echo '$suche in $string gefunden';

}else{

  echo '$suche in $string nicht gefunden';

}

komischerweise wirst du IMMER ins else hineinkommen.
In deinem konkreten Fall ist das nicht tragisch, da ja keine 0 zurückkommen kann.
Aber für mich gehört das zum sauberen Programmieren, dass man den Typ einer Rückgabe ebenfalls vergleicht.

Gruss

tobi

**Picard_Jean-Luc** · 29.05.2008, 13:05

Ich danke euch für eure Antworten...werde nacher mal mein Script mit den ganzen Vorschlägen anpassen.

Hoffe das es dann ganz gut sein wird!

Vielen Danke!

Gruß,

Picard

**TobiaZ** · 29.05.2008, 13:05

Es ist imho einfach sauberer auch den Type zu prüfen, wenn eine Fkt etwas zurückgibt. In diesem Fall wird kein int 0 zurückkommen, aber der TS kann ja die Rückgabe irgendwann mal ändern.

Dann wird er sie aber hoffentlich nicht schlechter machen.

Und falls doch, dann wäre die Prüfung auf != false ja sicherer.

**Picard_Jean-Luc** · 29.05.2008, 21:24

Guten Abend,

ich wollte jetzt mein Logout Script verbessern:

Habe folgendes drin:

PHP-Code:


<?php

header("Location: ../");



session_start();

$tmp_sid = session_id();

session_destroy();



include_once('../config/login_funktionen.php');



logout($tmp_sid);

?>

Es funktioniert. Aber ich verstehe das nicht?
Eigentlich ist es doch so, sobald er auf das Header Location geht ist die Seite weg und der rest drunter sollte nicht abgearbeitet werden oder?

Hatte das Header Location nur zum Test oben mal rein geschrieben weil es woanders nicht funktioniert hatte.

Aber er macht das was ich will! Er geht nochmal in die Funktion und killt die Session.

Aber warum?

**combie** · 29.05.2008, 21:28

Ein LocationHeader beendet kein Script!
Wieso auch?

Nur:
Wenn der Client den Header versteht, dann landen die Ausgaben im Nirvana.

**Picard_Jean-Luc** · 29.05.2008, 21:34

Ok, also stimmt das script so?
Kann ich so lassen? Weil er macht was ich will...cool...*freu*

Problem mit Loginscript