Hello,

1. ist das ein sicheres Loginsystem? Kann man das in die eigene Homepage einbauen?

Es ist sessionbasiert und nicht requestbasiert, da die Authentifizierung nur einmal beim Eröffnen der Session vorgenommen wird. Das bedeutet auch, dass der Administrator einem User während seiner Session keine neuen Rechte zuweisen kann und ihn auch nicht rausschmeißen kann, ganz umständliche Varianten mal außer Aht gelassen.

Außerdem sind Sessions bei einigen Installationen leider auch einfach entführbar, sodass die Manipulationsmöglichkeit dann i.d.R. einfache ist, als bei einem requestbasierten System.

Besser wäre es also, gleich ein requestbasiertes System aufzubauen, in dem bei jedem Request die SQL-Abfrage durchgeführt wird:

[code lang=php]// Verbinfung zur Datenbank

$con = mysql_connect("localhost", "xxx", "xxx") or die ("Keine Verbindung");  ## [1]

mysql_select_db("xxx") or die ("Keine Verbindung zur Datenbank");      ## [1]

// Query

$sql1 = "SELECT ìd, rights FROM logintable ".
          "WHERE uname  = '" . mysql_real_escape_string($_POST['user']) . "' " .
          "and password = '" . mysql_real_escape_string($_POST['password']) . "' ";

$result1 = mysql_query($sql1);

if ($result1 and mysql_num_rows($result1) == 1)
{
    ## angemeldet
}
else
{
    ## Fehlerbehandlung
}

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg