Session... doppeltes Login???

**Schnoop** · 05.10.2005, 08:12

Ohne Quellcode ist das bissl schwer auszumachen, findeste nicht?

**pegasus** · 05.10.2005, 08:25

jo....ich versuchs mal klarzustellen:

das erste script beinhaltet die FORM und sonst keine relevanten daten dafür:
----------------------------------------------------------------------------------

<form style="width: 308px;" action="test/login.php" method="post">
<p>Name:      
<input name="name" size="20" type="text">
</p>
<p> Kennwort:
<input name="pwd" size="20" type="password">
</p>
<p>
<input value="Login" type="submit">
</p>
</form></td>

----------------------------------------------------
das login.PHP:

PHP-Code:


<?php

// Session starten

session_start ();



// Datenbankverbindung aufbauen

$connectionid = mysql_connect ("localhost", "pegasusgt", "frucht");

if (!mysql_select_db ("pegasusgt", $connectionid))

{

  die ("Keine Verbindung zur Datenbank");

}



$sql = "SELECT ".

    "User, Passwort, Userseite ".

  "FROM ".

    "benutzerdaten ".

  "WHERE ".

    "(User     = '".$_REQUEST["name"]."') AND ".

    "(Passwort = '".$_REQUEST["pwd"]."')";

         

$result = mysql_query ($sql) or die("Datenbankabfrage ist fehlgeschlagen!") ;



if (mysql_num_rows ($result) > 0)

{

  // Benutzerdaten in ein Array auslesen.

  $data = mysql_fetch_array ($result);



  // Sessionvariablen erstellen und registrieren

  $_SESSION["user_id"] = $data["User"];

  $_SESSION["user_userseite"] = $data["Userseite"];

  

  header ("Location: " .$user_userseite );

  

}

else

{

  header ("Location: formular.php?fehler=1");

}

?>

---------------------------------------------------

muss vielleicht session_start vor der FORM erfolgen?

**LukasS** · 05.10.2005, 08:28

Wer lesen kann ist klar im vorteil. Schau mal hier.

edit:
Der Sicherheit halber besser:

PHP-Code:


... 

Passwort like '".$_REQUEST["pwd"]."' 

...

PHP-Code:


... 

Passwort = '".$_REQUEST["pwd"] ."'

...

Und das hier mal durchlesen http://de.wikipedia.org/wiki/SQL-Injection

**pegasus** · 05.10.2005, 08:43

also erstmal um das sicherer zu machen statt dem

PHP-Code:


LIKE

ein

PHP-Code:

???

**LukasS** · 05.10.2005, 08:48

Ja und editiere entlich die php tags in den zweiten Beitrag.

**Schnoop** · 05.10.2005, 08:53

Ja und editiere en[COLOR=crimson]d[/COLOR]lich die php tags in de[COLOR=crimson]m[/COLOR] zweiten Beitrag.

ganze 50 Beiträge und mault schon rum wie ein großer.

**pegasus** · 05.10.2005, 08:56

ok....sorry komme mit der bedienung noch nicht ganz klar bisher....

deswegen frage ich ja hier nach..kein grund so ungeduldig zu werden.

hilfe wäre mir lieber!

**wahsaga** · 05.10.2005, 09:10

- nutze absolute URLs bei den Location-headern, die sind zwingend vorgeschrieben
- übergebe die Session-ID im URL bei der Weiterleitung; ich denke, den von session_start() ausgelösten cookie wird der Client beim anfordern der redirect-Seite noch nicht wieder mitschicken.

**pegasus** · 05.10.2005, 09:42

oh.....nicht so schnell... das hab ich nicht ganz verstanden..bzw weiß nicht genau was du mir sagen willst.

absolute URLs? wo denn? welche zeile meinst du denn?

sinn der sache ist ganz unten bei "Location"...das jeder user
auf seine eigene "userseite" kommt. daher ist dort eine Variable.
soll ich da was ergänzen?

wie übergebe ich die session ID?

**wahsaga** · 05.10.2005, 10:23

Original geschrieben von pegasus
absolute URLs? wo denn? welche zeile meinst du denn?

Dort, wo du header('Location: ...') verwnedest.

wie übergebe ich die session ID?

RTFM, das steht im Manual m.E. ausführlich genug drin.

**pegasus** · 05.10.2005, 12:08

danke für den Hinweis,
ich hab das manual gelesen für session id..werde aber nicht ganz schlau draus. muss ich denn in dem script mit der Form etwas übergeben, oder liege ich da falsch?

also genau in der Zeile:
<form style="width: 308px;" action="test/login.php" method="post">

ich habe erstmal verstanden das es keinen unterschied macht, wie oft ich session_start() aufrufe, weil eigentlich müsste er ja die session wieder aufnehmen bei dem nächsten script. Warum übernimmt er es dann nicht? und wie kann ich das genau prüfen?

**pegasus** · 05.10.2005, 12:14

Original geschrieben von wahsaga
ich denke, den von session_start() ausgelösten cookie wird der Client beim anfordern der redirect-Seite noch nicht wieder mitschicken. [/B]

und wie kann ich den client dazu überreden diesen cookie trotzdem mitzuschicken?

**wahsaga** · 05.10.2005, 12:23

Original geschrieben von pegasus
ich habe erstmal verstanden das es keinen unterschied macht, wie oft ich session_start() aufrufe, weil eigentlich müsste er ja die session wieder aufnehmen bei dem nächsten script. Warum übernimmt er es dann nicht?

session_start rufst du pro Script ein mal auf.
Wenn die Session-ID übergeben wurde, wird die bestehende Session wieder aufgenommen - ansonsten eine neue gestartet.

Und wo du die Session-ID mitgeben solltest, wurde dir ja schon gesagt.

**pegasus** · 05.10.2005, 12:59

wenn ich dich jetzt richtig verstanden habe mit deinen kurzen
anweisungen, dann muss ich das innerhalb der Form in dem
ersten script machen?

also hier?
<form style="width: 308px;" action="test/login.php" method="post">

das ist aber doch kein PHP, wie übergebe ich denn da die
session_id?

das problem ist doch, das das Loginscript nicht ordentlich das findet,
was ich einmal eingegeben habe, obwohl logisch alles richtig zu sein scheint.....denn sonst würde ich ja nicht beim loginscript einfach stehenbleiben.

sorry, wenn du meinst das ich erst das manual lesen soll, aber manchmal braucht man eben trotz manual hilfe und keinen hinweis auf
RTFM....

Session... doppeltes Login???