[Tutorial] Login Systeme von Einfach bis Profi

[iop]

Ok, ok, war alles sehr schwammig, ich gebe ja schon alles zu

Danke für die schnelle Antwort übrigens!

Naja, ich habe Dein Profi-Skript umgesetzt. Es soll im Prinzip im Profilmanagement nichts anderes als Studi..Facebo..Neo.. werden.

Die Gruppen und Rechte, die ich verteilen muss, sind jetzt erstmal klar. Was mir aber noch unklar ist, sind die Links zu den Profilen (daher auch die Frage im ersten Thread, ob das mit den Ordnern sein muss...). Wie muss dieser Link aussehen? Im Studivz oder Facebook zb gibt es eine scheinbar wirre Zeichenfolge, neon macht es über Ordner(oder doch nicht..?!).. ich bin verwirrt.
In diesem Link muss doch irgendwo der Name des Profilbesitzers stehen (ob verschlüsselt oder nicht), damit User A auf der Profilseite von User B nur die Dinge zu sehen bekommt, die er sehen darf.
Oder ist die Annahme falsch, dass man das aus dem Vergleich der Session Variablen mit der Adresse der aktuellen Seite macht?

Hm... ist auch mal wieder spät geworden, hoffentlich sieht mein Text morgen immer noch so plausibel aus wie jetzt...

Danke nochmal für die Mühe!

[iop]

Hallo, ich nochmal!

Ich habe jetzt nach Rizzos letzter Anmerkung eine Art User-Gruppen Wishlist pro Seite erstellt. Das ist also wie schon gesagt, klar.
Desweiteren verlinke ich folgendermaßen auf Profile:

http://www.example.com/index.php?mod...ofile&user=iop

Wird die Seite nun von einem User A betreten, der nicht "iop" ist, vergleiche ich den Benutzer aus der Session mit der Post-Variable user. Ín diesem Fall sind sie nicht gleich, also checke ich die Rechte und zeige dann dementsprechend alles an.

Nun nochmal konkret meine Frage: Ist der Vergleich der Session-Variable mit der Post-Variable ausreichend im Bezug auf Sicherheit?

Ich habe schon naiv das Internet durchforstet, konnte aber keinen Anhaltspunkt finden.

Ich bin mir hier wirklich unsicher, deshalb: Falls jemand bis hierher gelesen hat, Danke schon einmal dafür!

[puzzler]

Lieber Andreas / Rizzo,

das was ich hier empfinde könnte vielleicht als Begeisterung am treffendsten umschrieben werden! Ich arbeite Deine Tutorials mit großem Spaß und Interesse durch. Das schöne dabei ist, dass sie wirklich ganz toll erklärt und kommentiert sind. Ich bin für dieses Forum, speziell Dir, sehr dankbar.

Das Script funzt wunderbar!

Nachdem ich die schönsten Blumen übergeben habe, würde ich gerne um Deine Hilfe bitten bei folgender Sache (sorry, ich glaube, ich unterliege einer Denkblockade - bitte hol mich aus dem Sumpf!)

Es geht mir um die geheim.php seite. Denn nachdem login gelange ich nur auf die geheim.php seite, aber ich will, dass je nachdem wo der besucher vorher war, weil er noch nicht eingeloggt war bzw. loginstatus negativ war, da wieder hinkommt, nämlich zb zur geheim1.php oder zb zur geheim2.php

also ich meine so:
ich habe zB 3 Hauptseiten:

seite_1.php: tabelle mit links: link_1_geheim.php, link_2_geheim.php ...
seite_2.php: tabelle mit links: link_6_geheim.php, link_7_geheim.php ...
seite_3.php: login_profi.php

angenommen, bin auf seite 1, noch nicht eingeloggt, klicke auf link_1_geheim.php :
dann prüft die seite link_1_geheim.php den eingeloggt-status:
if eingeloggt: dann link_1_geheim.php zu sehen
if not eingelogt: dann seite 3 = login_profi.php zu sehen, und jetzt: nach
usereingaben und klick auf submit soll der user auf
link_1_geheim.php kommen

genauso wenn angenommen, bin auf seite 2, noch nicht eingeloggt, klicke auf link_7_geheim.php :
dann prüft die seite link_7_geheim.php den eingeloggt-status:
if eingeloggt: dann link_7_geheim.php zu sehen
if not eingelogt: dann seite 3 = login_profi.php zu sehen, und jetzt: nach
usereingaben und klick auf submit soll der user auf
link_7_geheim.php kommen

und genau hier steckt nun der clou, wo ich nicht weiterkomme:
denn Dein script führt mich auf die einzige geheim_profi.php und bei nicht-eingeloggt-status dann immer auf login_profi.php

ich habe verschiedene ideen ausprobiert, aber das klappt leider nicht... Ich habe ja zum einen die headeranweisung in funktionen.inc.php und zum anderen den header in der login_profi.php auf geheim_profi.php. Aber wie gesagt, ich will verschiedene geheim-seiten, jenachdem was er vorher angeklickt hatte (zb link1geheim oder link2geheim...)

Sinn des Ganzen soll sein: User kommt auf website, klickt auf link_1 auf seite_1; sollte er nicht eingeloggt sein, dann soll er nachdem er sich eingeloggt hat, genau da wieder hinkommen, wo er vor dem einloggen war statt sich erinnern zu müssen, wo er hingeklickt hatte oder womöglich auf zurück-button klickt...

Mit js bin ich nict weitergekommen, ausserdem favorisiere ich php statt js. ... verschiedene header je in variablen deklarieren und dann per switch??

Andreas, ich würde mich ja so sehr freuen, wenn Du mir helfen könntest. Bitte laß ein Lichtlein bei mir angehen...

[phpBuddy]

@ iop
Hallo iop,
Du bringst da scheinbar so einige Begriffe durcheinander, was es für Helfer nicht einfacher macht, deinen Beitrag nachzuvollziehen. Wishlist soll sicher Whitelist heissen, oder?! Auch sprichst Du von Post, übergibst die User-ID aber per URL, also Get.
Zu deiner Frage...
Die Vorgehensweise sieht für gewöhnlich so aus:
Du hast eine Datenbankstruktur in der User Accounts, Gruppen und Berechtigungen festgelegt werden. User werden Gruppen zugeordnet (z.B. Gast, Mitglied, Admin) und Gruppen werden Berechtigungen zugeordnet (Gast darf lesen, Mitglied darf lesen und schreiben, Admin darf lesen, schreiben und Mitglieder bearbeiten). Bei der Anmeldung kannst Du einen Benutzer ja eindeutig identifizieren, indem Du User-ID, Gruppe und Berechtigung ausliest. Diese Info hältst Du in der Session fest. Beim Aufruf einer Seite, z.B. eines Profils, wird für das Profil festgelegt, welche User oder Gruppen Zugriff darauf haben dürfen und diese Zugriffsberechtigung wird mit den in der Session hinterlegten Daten verglichen. Das alles geschieht auf dem Server und ist somit sicher. Du musst lediglich sicherstellen, dass der angemeldete User auch der ist, den er vorgibt zu sein - das ist die Aufgabe des Login Scripts.

Beantwortet das deine Frage?



@ puzzler
Hallo puzzler,
vielen Dank für die netten Worte. Es freut mich zu lesen, dass dir die Tutorials gefallen.
Zu deiner Frage...
Eine Möglichkeit das zu realisieren wäre es, auf jeder geheimen Seite, beim betreten der Seite, die Adresse festzuhalten. Da ohnehin schon eine Session gestartet wurde bietet es sich an, die Adresse dort abzulegen. Kopf einer geheim.php:

PHP-Code:

<?php

ini_set( 'session.use_only_cookies', '1' );
ini_set( 'session.use_trans_sid', '0' );

// Session starten
session_start();
$_SESSION['zuletzt_besucht'] = $_SERVER['REQUEST_URI']

Ist man auf der geheim.php nicht eingeloggt, wird man zum Login umgeleitet. Kopf der login.php:

PHP-Code:

<?php

// Fehlermeldungen unterdrücken
error_reporting( 0 );

// Erzwingen das Session-Cookies benutzt werden und die SID nicht per URL transportiert wird
ini_set( 'session.use_only_cookies', '1' );
ini_set( 'session.use_trans_sid', '0' );

// Session starten
session_start();
if (isset( $_SESSION['zuletzt_besucht'] ))
{
    $zuletzt_besucht = $_SESSION['zuletzt_besucht'];
}

Das Umladen muss hier sein, weil weiter unten im Script die Session ggfs. zurückgesetzt wird und der Inhalt von $_SESSION['zuletzt_besucht'] verloren geht.
Weiter unten im Script, nach erfolgreichem Login, muss der Redirect angepasst werden:

PHP-Code:

// Auf geheime Seite weiterleiten
if (isset( $zuletzt_besucht ))
{
    header( 'location: ' . $zuletzt_besucht );
    exit
}
else
{
    header( 'location: geheim_profi.php' );
    exit
} 


So, das sollte als Lichtschalter genügen.

[puzzler]

Rizzo,

wau, vielen herzlichen Dank. In der Tat geht ein Lichtlein an!
Ich werde das gleich mal ausprobieren. Aber bin mir eigentlich jetzt schon sicher, dass es funzt.

lg

[filius27]

Hallo,

bin schon am verzweifeln, hab schon alles versucht, um in die SESSION-Array neue Daten wie 'id' und 'kennung' aufzunehmen, bekomme aber immer ein leeres Array zurück.

Willkommen im geschützten Bereich! ;-)

Array
(
[server_SID] => 1
[angemeldet] => 1
[benutzername] => ga6
[kennung] =>
[id] =>
[anmeldung] => 00e0356f99050e51045c1e99f40670d4
)

Hallo angemeldeter Benutzer
ga6

Vielleicht kann mir jemand helfen oder einen Tip geben wo ich ansetzen muss.

lg

Rainer

[puzzler]

Hallo Rizzo,
wollt mich nur mal kurz rückmelden: es funktioniert!
Vielen Dank nochmals

[OhneMaske]

Hallo,

ich habe gestern das Login System hier auf der Webseite entdeckt - und muss sagen das ist ja wirklich SUPER! In den letzten Wochen habe ich soviele Scripte gesucht und ausprobiert, dies hier ist aber mit Abstand nicht nur das Beste, sondern was auch wichtig ist "SUPER" erklärt! Großes Lob an den Autor! Habe mich auch direkt deshalb hier im Forum angemeldet.

Bisher getestet und einsetzen wollte ich das Profi-Script. Bisher klappt das auch hervorragend.

Innerhalb der Tabelle "login_profi" werden ja schon Daten der letzten Sitzung gespeichert. Ich möchte nun folgendes zusätzlich. Zunächst habe ich eine neue Tabelle "tbl_login" angelegt. In dieser Tabelle gibt es die Felder:

1.) "benutzername_F" (Wert="benutzername" aus "login_profi")
2.) "ip" (hidden - Feld im frm)
3.) "anDatum" (hidden - Feld im frm)
4.) "anZeit" (hidden - Feld im frm)
5.) "benutzerinfo_F" (Wert="benutzerinfo" aus "login_profi")
6.) "abDatum"
7.) "abZeit"

Gleichzeit ein ID Feld (auto_increment)

Die Felder 1-5 sollten beim einloggen des User gefüllt werden. Die Felder 6-7) sollten beim ausloggen (über den Abmelde Link) gefüllt werden. Dafür müsste dann die ID des Datensatz benutzt werden!

Das ganze sollte dann wenn möglich in die Datei "funktionen.inc.php" mit aufgenommen werden. Kann mir hier jemand den PHP-Code reinstellen, mit Angabe an welcher Stelle das in die Datei soll - bzw. wohin sonst!

DANKE!

Gruß aus dem Saarland
Einfach ich...

[DMR]

Hallo alle zusammen,
habe mir das Tutorial nun durch gelesen und auch so weit auf meiner Seite zum laufen gebracht. Ich bin ziemlicher Anfänger was PHP betrifft und gerade noch extrem im Lernprozess. Da ich aber nun nicht weiter weiß versuche ich es hier und hoffe mal auf freundliche Hilfe und vor allen dingen Verständnis für einen Blutigen Anfänger.
Ich versuche nun seit Gestern verzweifelt den Usern die möglichkeit zu bieten sich auf der Seite zu registrieren. Ich habe die Tabelle in der Datenbank erweiter. Folgende Spalten befinden sich in der Tabelle:
id
benutzername
passwort
aktiviert
cookie_hash
vorname
nachname
strasse
ort
email
Ich habe dann ein Formular auf meiner Seite erzeugt in das all diese Daten eingetragen werden können. Das Formular besteht bislang aus:
Username
passwort
Vorname
Nachname
Strasse
ort
e-mail adresse
Wie ich all diese Dinge in die Datenbank bekomme ist mir klar. Kein Problem so weit. Das wirklich problem welches ich habe ist wie läuft diese Sache mit dem Cookie hash? Muss ich das irgendwie selbst erzeugen? Oder wie geht das genau.
Ich habe Heute mehrere Stunden im Internet geguckt und nichts passendes gefunden. Ich wäre wirklich sehr dankbar wenn mir jemand weiter helfen könnte.
Ich bedanke mich schon mal vorab sehr herzlich.
Gruß
Dennis