nicht angemeldet
Passwortgeschützter Bereich
---------------------------------
Tom schrieb:
Was steht denn drin in einer solchen Datei? Hast Du schonmal reingeschaut?
Bist Du Dir der Gefahren bewusst, die Du eingehst, wenn Du dem wwwrun (oder wie der PHP-Interpreter sich nennt) Schreibrechte auf eine .htpasswd-Datei gibst?
----------------------------------
Also ich habe schon in eine solche Datei ineingeschaut. Das Problem ist nur, das die Passwörter, die man für eine Solche Datei erstellt, ebenfalls nochmal verschlüsselt werden, und zwar mit buchstaben und ziffern. Das ich einen solchen Verschlüsselungsalgorithmus nicht reproduzieren kann (ich meine ich kann es schon, werde nur nie den genauen schlüssel finden) ist mir auch klar. Der Provider, bei dem ich den Webspace habe, bietet mir an, bereiche zu sichern. Eben durch diese .htaccess und .htpaswd Datei. Die Gefahren bin ich mir natürlich bewusst, ist halt nur so, dass es sein kann, das ich mehrere Anmeldungen pro Tag haben kann.. und dann jeden ich diese Datei einzutragen ist ein bisschen schwierig und Zeitaufwendig.
Gibt es denn ne andere Möglichkeit sowas zu realisieren. Ich meine sowas gibt es ja auf vielen Web-Seiten. Wie funktioniert denn sowas ?? ICh habe bisher nur von .htaccess etc. gelesen..
Sonst bin ich noch nicht weiter gekommen.
PS: Es sollen Webseiten geschützt werden. Halt eine richtige Member-Area.
erstmal soweit
Gruß Daniel
-
Moin!
Also es sollen sich ständig neue User anmelden können, ja?
Es wäre wohl nicht gut, wenn man mit einer serverseitigen Sprache, die .ht-Files umschreiben würde.
Ich würde eine Datenbank nutzen, um Usernamen samt Logins zu speichern (Passwörter vermutlich auch nur in verschlüsselter Form speichern, z.B. mit md5).
Dann würde ich den Login mit Sessions machen.Gruß, rob
-
Moin!
Also es sollen sich ständig neue User anmelden können, ja?
Ja..
Ich würde eine Datenbank nutzen, um Usernamen samt Logins zu »» speichern (Passwörter vermutlich auch nur in verschlüsselter Form »» speichern, z.B. mit md5).
Die Datenbank steht schon, und das Speichern der Benutzerinformationen funktioniert auch.
Dann würde ich den Login mit Sessions machen.
Wie kann ich jetzt aber sicherstellen, das sich nur angemeldete User im Memberbereich bewegen können ?
Gruß, rob
Gruß Daniel
-
Muss ich dann in jeder Webseite, die ich sichern möchte, eine Abfrage der Cookies machen ?
z.B. Ich speicher die Informationen (eingeloggt ja, nein) in einem cookie. Wen dann die Seite geöffnet wird, wird der cookie ausgelesen. Ist das Login-Flag gesetzt, dann wird die Seite angezeigt. Ist es nicht gesetzt, dann wird der Zugang verweigert.Gruß Daniel
-
Muss ich dann in jeder Webseite, die ich sichern möchte, eine Abfrage der Cookies machen ?
Nein. Du arbeitest mit Sessions.
Du hast dein Formular, wo Username und Passwort eingegeben werden. Paßt das zu den Daten in deiner DB, dann startest Du eine neue Session und setzt eine Sessionvariable wie $_SESSION['loggedin']=true; (oder vielleicht speicherst du hier auch den Usernamen oder was weiß ich).
Und dann kannst Du auf jeder Seite in deinem Memberbereich die Abfrage machen, ob der User eingeloggt ist. Falls nicht, dann kommt man nicht auf die Seite.
if ( !isset($_SESSION['loggedin'] || $_SESSION['loggedin'] != true )
{
header( "Location: http://blabla.de/kein_zutritt.html" );
exit;
}Google notfalls mal nach einen Tutorial, wie man mit Sessions arbeitet.
Gruß, rob
-
Danke.. ich werds versuchen !!
-
-
-
-
Moin!
Hi!
Dann würde ich den Login mit Sessions machen.
Das würde ich nicht. Es gibt eine wesentlich einfachere und sauberere Methode für Benutzerrechte / Benutzerverwaltung / Passwortschutz. Befasse dich mit Sttus 401 bezüglich php.
Ein Link:
http://www.php.net/manual/de/features.http-auth.phpPrinzipiell:
- der server schickt einen status 401 an den client.
- es öffnet sich das von htaccess bekannte fenster für ID & PW
- per php werden die Eingaben mit einer DB verglichen (PWs MD5!)
- ist der client "logged on", stehen 2 globale Variablen - nämlich Benutername und Passwort zur Verfügung. Damit kann man immer überprüfen, ob der client auch "Authentifiziert" ist.
Gruß,
LeoGruß, rob
-