Allgemeiner Fragethread

[Tessio]

Wenn das deine Problematik ist, dann ist HTTP-Authentifizierung (.htaccess) empfehlenswert. Sehr sicher und bei einem entsprechendem Passwort nur mit BruteForce knackbar

...

Das ACP war mit .htaccess geschützt. :/
Halt nur mit .htaccess, jetzt will ichs so sicher wie möglich haben. ;_;

Ja, sofern sich dieser Benutzer die entsprechende Session zu eigen macht und die Anwendung entsprechende Bearbeitungsformulare bietet.

...

Nunja, klingt beunruhigend. ^^

Hast du eventuell die Adresse dieses Tutorials parat?

...

Indirekt. Das war eher sowas "fertiges", was ich mir angeschaut und in der Art nachgeschrieben habe. Ich kann aber gerne zeigen, was das System macht :

In der index.php, also dem eigentlichen Admin Bereich, wird checkuser.php inkludiert (gibts das Wort?).
In der steht :

PHP-Code:

<?php
 session_start ();
 if (!isset ($_SESSION["blablabla"])) {
   header ("Location: formular.php");
 }
?>

formular.php :

PHP-Code:

<?php session_start (); ?>
<html>
 <head>
   <title>Login</title>
 </head>

 <body>
<?php
 if (isset ($_REQUEST["fehler"])) {
   echo "Die Zugangsdaten waren ungültig.";
 }
?>

<form action="login.php" method="post">
  Name: <input type="text" name="name" size="20" /><br />
  Kennwort: <input type="password" name="pwd" size="20" /><br />
  <input type="submit" value="Login" />
</form>

 </body>
</html>

Nicht den Code, also den Rest außer dem Script kritisieren, ich schreibs ja noch um. >_>

login.php :

PHP-Code:

<?php
 session_start ();
 $connectionid = mysql_connect ("localhost", "...", "...");
if (!mysql_select_db ("...", $connectionid)) {
  die ("Keine Verbindung zur Datenbank");
}

$sql = "SELECT ".
    "ID, name ".
  "FROM ".
    "...".
  "WHERE ".
    "(name like '".$_REQUEST["name"]."') AND ".
    "(kennwort = '".MD5($_REQUEST["pwd"])."')";
$result = mysql_query ($sql);

if (mysql_num_rows ($result) > 0)
{
  $data = mysql_fetch_array ($result);

  $_SESSION["blabla"] = $data["ID"];
  $_SESSION["blabla"] = $data["name"];

  header ("Location: index.php");
}
else
{
  header ("Location: formular.php?fehler=1");
}

Ja, schrecklicher Code, besonders der SQL Befehl. :x
Wird auch umgeschrieben.

Die logout.php:

PHP-Code:

<?php
// Wird ausgeführt um mit der Ausgabe des Headers zu warten.
ob_start ();

session_start ();

if (!isset ($_SESSION["blabla"]))
{
  die('Warst nicht angemeldet!');
}


session_unset ();
session_destroy ();

header ("Location: formular.php");
ob_end_flush ();
?>

Um ehrlich zu sein weiss ich nicht, was ob_start und ob_end_flush bedeuten. ;_;
--- Ja. Ich wusste nicht so, aber ich hab mal ein paar Sachen in den Arrays zensiert, vielleicht wars ja nicht nötig. ._.

Alles was irgendwie vom Benutzer kommt ist potenziell gefährlich. Wenn du eine Sitzung startest und die ID per URI weitergibst kannst du z.B. prüfen, ob bei einem Neuaufruf mit dieser ID die IP-Adresse noch identisch ist.

...

Naja, ich gehe die ID ja nicht per URI weiter.

Danke.