php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 06-05-2008, 00:02
danix
 Newbie
Links : Onlinestatus : danix ist offline
Registriert seit: Dec 2005
Beiträge: 25
danix ist zur Zeit noch ein unbeschriebenes Blatt
Talking Login Tutorial

Hallo alle zusammen,

ich finde das Tutorial

http://www.php-resource.de/tutorials/read/38/1/

sehr gut, kann den Autor aber nicht mehr hier finden und hätte noch drei kleine Fragen, die ihr mir sicherlich dazu beantworten könnt:

A) wie sicher stuft ihr das ganze ein
B) kann ich irgendwo eine Information hinterlegen, welche ich dann in Links in seinem Login Bereich nutzen kann. Ich mache ein Beispiel - es gibt einen Bereich da steht dann (ähnlich wie in my ebay) Meine Daten ändern. Dies würde ich dann gerne mit dem aus der Datenbank füttern, dass der Link wie folgt aussieht: <a href='meinedaten.php?id=der_wert_den_ich_meine'>, sodass ich in der meinedaten.php sagen kann UPDATE so und so WHERE id=$id. Vielleicht ein wenig blöd formuliert, aber ich hoffe ihr versteht dennoch was ich meine ^^
C) wie sieht es mit dem Script aus, wenn sich jemand NICHT ausloggt. Beim schließen des Fensters ist es dann spätestens erledigt oder?

Ich danke euch vielmals vorab für eure Einschätzungen und Hilfen!

Gruß
Daniel
Mit Zitat antworten
  #2 (permalink)  
Alt 06-05-2008, 00:19
Benutzerbild von onemorenerd onemorenerd
  Moderator
Links : Onlinestatus : onemorenerd ist offline
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.471
onemorenerd wird schon bald berühmt werdenonemorenerd wird schon bald berühmt werden
Standard

http://php-resource.de/forum/member....fo&userid=4449 hats geschrieben.
Mit Zitat antworten
  #3 (permalink)  
Alt 06-05-2008, 11:25
Abraxax
  THE REAL HAXE (Administrator)
Links : Onlinestatus : Abraxax ist offline
Registriert seit: Jul 2002
Ort: neuss.nrw.de
Beiträge: 22.623
Abraxax befindet sich auf einem aufstrebenden Ast
Standard

happy ist schon länger inaktiv. :-(
__________________
INFO: Erst suchen, dann posten! | MANUAL(s): PHP | MySQL | HTML/JS/CSS | NICE: GNOME Do | TESTS: Gästebuch | IM: Jabber.org |


Mit Zitat antworten
  #4 (permalink)  
Alt 06-05-2008, 11:43
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
C) wie sieht es mit dem Script aus, wenn sich jemand NICHT ausloggt. Beim schließen des Fensters ist es dann spätestens erledigt oder?
Solange die Session ID gültig ist gilt der User als eingeloggt! Du kannst aber z.B. eine Ablaufzeit der Session in der DB definieren und diese Ablaufzeit bei jeder Aktion des Users um x Minuten verlängern. Wenn diese Zeit überschritten ist, dann wird die Session ID geknickt und der User muss sich beim Wiederkommen neu anmelden.
Zitat:
A) wie sicher stuft ihr das ganze ein
Absolute Sicherheit kann es nicht geben und solange im Code darauf geachtet wird, Usereingaben vor dem Eintrag in die DB zu entschärfen, ist das grösste Sicherheitsrisiko ausgeschaltet oder zumindest minimiert.
Und wenn der Code auch mit register_globals auf OFF läuft, dann hast du die grössten Risiken wirklich ausgeschaltet.

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #5 (permalink)  
Alt 08-05-2008, 01:14
Schyla
 Newbie
Links : Onlinestatus : Schyla ist offline
Registriert seit: Nov 2005
Beiträge: 11
Schyla ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo danix
Zu B:
Du willst bestimmt das der User sein password oder auch noch andere Daten ändern kann.

Mach dir ein Link zb. account ändern verweis den zu account.php
dann mach dir eine Datein account.php das wird dein fomular wo der User seine daten einträgt:
coode account.php
PHP-Code:
<?php 
// soll ja nicht jeder die Daten ändern können
// ACHTUNG UserName muss mit session_register['UserName']
// registriert sein am besten bei der loggin auswertungs Datei machen.
if(isset($_SESSION["UserName"])) 

    {    
    echo
'
    
            <h3>
            '
.$_SESSION['UserName'].' hier kannst du dein Password &auml;ndern
            </h3>
            <div id="für das css">
                <form method="post" 
                action="account_auswertung.php">
'
;
//das fomular werten wir ja aus also dahin schicken
// Den UserNamen weist du ja, spaar ihm damit ein feld zum 
//ausfüllen
echo'
User Name:        '
.$_SESSION['UserName'].'            
UserPass:        <input class="css" type="password" size="24" maxlength="50"
        name="userpass" />
Neuen UserPass:        <input class="css" type="password" size="24" maxlength="50"
        name="n_userpass" />
                
<input class="css" type="submit" value="Daten &auml;ndern" name="userpass_aendern"/>
                    
                </form>
            </div>
        
    '
;
    }
// wenn jemand linkmanipulationen macht
    
else
    {
    echo
'
    <h3>
    Du keine Rechte die Seite anzuzeigen !!!!        
    </h3>
'
;
// in 5sec zur index seite weiterleiten
echo'
    <Meta HTTP-EQUIV="Refresh"content="5;URL=index.php" />
    '
;
    }
?>
so die Datei wär fertich
noch ne loggout funktion, wenn du die schon hast must du sie nicht machen, nur halt dann aufrufen siehe weiter untern
PHP-Code:
function out()
{
session_destroy();

nun zu auswertung:
mach dir eine Datein zb. account_auswertung.php
PHP-Code:


<?php 
// funktion includen, kannst auch in deiner index Seite includen, kommt drauf an wie deine Site aufgebaut ist
include('pfad zu deiner funktion');
// Wenn der Button mit dem namen: userpass_aendern gedrückt wurde
if(isset($_POST['userpass_aendern']))
{
//der der eingeloogt ist, in die Variable $username speichern
// ACHTUNG UserName muss mit session_register['UserName']
// registriert sein 
$username $_SESSION['UserName'];
// brauchen wir weiter unten
$userpass_a $_POST["userpass"]; 
// wenn dein password in deiner Datenbank tabelle mit md5 verschlüsselt ist
$userpass md5($userpass_a);
// das neue Passwort in $n_userpass speichern
$n_userpass $_POST["n_userpass"];
// und verschlüsseln
$n_userpass md5($n_userpass);

// zum testen kannst hier mit echo mal die Variablen abfragen

//wenn das eingegebene Passwort auch das vom User ist und das eingegebene 
//neue passwort nicht leer ist
// ACHTUNG $_SESSION["UserPass"] UserPass muss registriert sein

    
if(($userpass == $_SESSION["UserPass"]) && ($n_userpass != ''))
    {
    
$abfrage "SELECT * FROM MeineTabelle
                WHERE 
                    UserName 
                LIKE 
                    '$username' LIMIT 1"

    
$ergebnis mysql_query($abfrage); 
    
$row mysql_fetch_object($ergebnis); 
            
    
$a_id=$row->id;
        
    
$aendern "UPDATE MeineTabelle
    SET
        UserPass = '$n_userpass' 
    WHERE 
        id = '$a_id' 
        "
;
    
mysql_query($aendern);        
        
        if(
$aendern == true
        { 
        echo
'
        '
.$_SESSION['UserName'].' Dein Password wurde erfolgreich
        ge&auml;ndert.<br />
        In 5sec kommst du zur Loggin Seite und kannst dich neu
        einloggen
        
        <Meta HTTP-EQUIV="Refresh"content="5;
        URL=?oben=60&amp;section=60&amp;unten=10" />
        '
;
        
out();
        }
        else echo 
' Beim eintragen ging was schief';

    }
// ##############    Abfragen falls Fehler auftreten #################
    
if(($userpass =='') || ($n_userpass == ''))
    { 
    echo

        Eingabefehler: Bitte alle Felder korekt ausfüllen. <br />
        <a href="account.php">    
            Zum password &auml;ndern:
            </a> 
    '


    }
    if((
$userpass != $_SESSION["UserPass"]) && ($n_userpass != ''))
    { 
// Wenn das eingegebene Passwort nicht mit dem registrierten übereinstimmt, den fehler auch dem User zeigen mit der Variable
//$userpass_a
echo'
    '
.$_SESSION['UserName'].' du hast als UserPass: '.$userpass_a.'     
        eingetragen. Gib bitte dein richtiges UserPass ein
        <a href="index.php?oben=70&amp;section=70">    
            Zum password &auml;ndern:
            </a>  
    '
;}

}
?>
So das war es dann schon must vieleicht noch etwas umändern,
aber so ungefähr müste es gehn.
Hoffe dir geholfen zu haben.

LG
Schyla
Mit Zitat antworten
  #6 (permalink)  
Alt 08-05-2008, 11:46
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

@Schyla
So mal als konstruktive Kritik des Ganzen

1. session_register() ist veraltet und sollte nicht mehr verwendet werden
2. Warum das
PHP-Code:
$userpass_a $_POST["userpass"]; 
// wenn dein password in deiner Datenbank tabelle mit md5 verschlüsselt ist
$userpass md5($userpass_a);
//und nicht einfach
$userpass md5($_POST['userpass']); 
3. vor dem Verwenden von POST oder GET Vars prüfen ob diese überhaupt gesetzt sind (gibt sonst u.U. komische Fehlermeldungen)
4. SELECT * bei einer SQL Abfrage wo du nur ein bestimmtes Feld willst ist nicht gut. Stell dir mal vor du speicherst in der DB noch einen BLOB mit einem Useravatar. Den würdest du jedesmal mit auslesen obwohl du ihn überhaupt nicht brauchst. Auch wenn du mehrere Felder haben willst, solltest du diese beim SELECT immer explizit angeben und nicht einfach * verwenden.
5. Die id in einer MySql Tabelle (zumindest wenn es der Primary Key ist) ist immer ein Integer. Also keine ' und ' darumherum
6. Sollte ich in meinem Browser Cookies nicht akzeptieren, dann funzt dein ganzer Code nicht mehr!
7. Wenn du mit Sessions arbeiten willst, dann muss irgendwo auch ein session_start() stehen. Sehe ich in deinem Code aber nicht.
8. Warum arbeitest du mit LIKE und ohne Platzhalter? Da könntest du gerade so gut
PHP-Code:
$abfrage "SELECT id FROM MeineTabelle
                WHERE 
                    UserName='$username' LIMIT 1"

schreiben. imho macht es eh keinen Sinn hier mit LIKE zu arbeiten. Wenn der User seinen Namen nicht kennt, dann soll er auch sein PW nicht ändern können. Und wenn schon mit LIKE dann musst du auch das alte Passwort noch mit einbeziehen, um den Datensatz eindeutig zu identifizieren.


Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #7 (permalink)  
Alt 08-05-2008, 13:34
Schyla
 Newbie
Links : Onlinestatus : Schyla ist offline
Registriert seit: Nov 2005
Beiträge: 11
Schyla ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo @jahlives

Mal ganz grob zu meiner Site etwas:
Ich hab eine MasterSite, index.php dort werden alle Dateien includet, (aufgerufen wenn sie benötigt werden) zb.
(index.php?inhalt=20)
in der index.php steht als erstes session_start();

zu1:
session_register() ist veraltet schreibst du, was kann ich statt desen schreiben.
Beispiel:
bei mir loggt sich ein User ein:
mit dem einloggen speicher ich sein UserNamen mit
session_register('UserName')
egal wo er nun auf meine Site navigiert ich kann immer sein UserNamen abfragen.

zu4:
werd ich in zukunft dann so schreiben

PHP-Code:
$abfrage "SELECT id FROM MeineTabelle
                WHERE 
                    UserName = '$username'
                 LIMIT 1"

zu5:
sollte dann so ausschauen?
PHP-Code:
$aendern "UPDATE MeineTabelle
    SET
        UserPass = '$n_userpass' 
    WHERE 
        id = $a_id 
        "

Da ich noch Anfängerin bin, wär ich dir sehr dankbar wenn du mir verrätst, wie ich das mit dem session_register anders machen kann.

LG
Schyla
Mit Zitat antworten
  #8 (permalink)  
Alt 08-05-2008, 13:48
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Anstatt
PHP-Code:
session_register('UserName'); 
einfach
PHP-Code:
$_SESSION['UserName'] = 'wert'
schreiben

Gruss

tobi
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #9 (permalink)  
Alt 08-05-2008, 14:40
Schyla
 Newbie
Links : Onlinestatus : Schyla ist offline
Registriert seit: Nov 2005
Beiträge: 11
Schyla ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo @jahlives

$_SESSION['UserName'] = 'wert';
hmm, auf einmal klappt das danke,
ich muss da irgendwas verkehrt im coode geschrieben haben,
hatte das so gehabt:

PHP-Code:
$_SESSION['UserName'] = '$UserName';
session_register['UserName']; 
hab nun das ganze session_register rausgenommen und alles geht.

Aber das klappt nicht:

PHP-Code:
$abfrage "SELECT id FROM MeineTabelle
                WHERE 
                    UserName = '$username'
                 LIMIT 1"

eigendlich auch klar, er hat die id und den UserNamen
aber wenn ich den UserPass haben möchte zeigt er den ja nicht an.
müste ich so schreiben
PHP-Code:
$abfrage "SELECT UserPass FROM MeineTabelle
                WHERE 
                    UserName = '$username'
                 LIMIT 1"

da ich aber mehr Daten wissen möchte muss ich es so schreiben
PHP-Code:
$abfrage "SELECT UserPass, UserLevel, UserMail FROM MeineTabelle
                WHERE 
                    UserName = '$username'
                 LIMIT 1"

nochmal Danke für das session_register

LG
Schyla
Mit Zitat antworten
  #10 (permalink)  
Alt 08-05-2008, 17:25
asp2php
 Banned
Links : Onlinestatus : asp2php ist offline
Registriert seit: Feb 2004
Beiträge: 11.745
asp2php ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Was soll denn das werden?

PHP-Code:
$_SESSION['UserName'] = '$UserName'
Mal scharf nachdenken!
Mit Zitat antworten
  #11 (permalink)  
Alt 08-05-2008, 18:54
case
 Registrierter Benutzer
Links : Onlinestatus : case ist offline
Registriert seit: Mar 2007
Beiträge: 265
case ist zur Zeit noch ein unbeschriebenes Blatt
case eine Nachricht über ICQ schicken
Standard

vielleicht heißt der User ja '$UserName'
Mit Zitat antworten
  #12 (permalink)  
Alt 09-05-2008, 12:00
Schyla
 Newbie
Links : Onlinestatus : Schyla ist offline
Registriert seit: Nov 2005
Beiträge: 11
Schyla ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo asp2php

müste so ausschauen hab mich da etwas vertahn.

PHP-Code:
$UserName $_SESSION['UserName'] ; 
Mit Zitat antworten
  #13 (permalink)  
Alt 09-05-2008, 12:07
jahlives
 Master
Links : Onlinestatus : jahlives ist offline
Registriert seit: Jun 2004
Ort: Hooker in Kernel
Beiträge: 8.279
jahlives ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
müste so ausschauen hab mich da etwas vertahn.
Und was bringt es eine Session Var auf eine "normale" Var zu speichern? Ausser Verschwendung von Ressourcen??
Ich vermute du willst das
PHP-Code:
$_SESSION['UserName'] = $UserName
__________________
Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."
Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)
Mit Zitat antworten
  #14 (permalink)  
Alt 09-05-2008, 20:22
Schyla
 Newbie
Links : Onlinestatus : Schyla ist offline
Registriert seit: Nov 2005
Beiträge: 11
Schyla ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hallo @ jahlives

genau hast hast recht, hab mich da mal wieder vertahn

PHP-Code:
$_SESSION['UserName'] = $UserName
so hauts nun hin
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 19:58 Uhr.