[PHP] Session Authentifizierung

[Brei]

Hallo,

also ich möchte sowas wie ein "Mini-Forum" für meine Homepage basteln.

Wie stell ich das mit der Authentifizierung sicher? Ich werd wohl sessions verwenden, aber mein Buch gibt mir da nicht wirklich viel hilfe.

Also, was muss ich auf der login seite machen, damit ich auf den Forum-Seiten sicher gehen kann, dass der Typ auch wirklich der Typ ist?

[robotto7831a]

Hallo,

Du bastelst ein kleines Loginformular und das leitet die Eingaben an eine PHP Datei mit Datenbankanbindung weiter. Dort wird geprüft ob der User in der DB steht und Passwort stimmt usw. Wenn das alles OK ist, dann setzt Du eine Sessionvariable $_SESSION['login']=xyz oder sowas. Und auf der Forumseite prüfst Du ob $_SESSION['login'] einen gültigen Wert hat. Wenn es einen gültigen Wert gibt dann ist ein User angemeldet. Beim Ausloggen löscht Du einfach den Inhalt in der Sessionvariable.

Frank

[Brei]

ah, danke.

So einfach ist das?

Wenn das per cookie gespeicher wird, könnte dann nicht der user einfach das cookie manipulieren?

[zaphod1984]

In der Theorie ja, aber du brauchst ja keine Cookies.

Außerdem kann man die auch deaktivieren, dann wirds auch problematisch.

Ich würde in die Session übrigens die ID des Users schreiben, dann kann man immer drauf zugreifen wenn der User irgend eine Operation durchführt.

[Brei]

In der Theorie ja, aber du brauchst ja keine Cookies.

WIe lege ich das fest ob cookies verwendet werden?

Wenn ich die SID per links übergebe, dann könnte aber ein böser mensch von einem pc einen solchen link nehmen und sich dann als falscher benutzer ausgeben, oder?

[robotto7831a]

Rein theoretisch schon. Man sollte deshalb beim Login in der Session die IP abspeichern. Und bei jedem Seitenaufruf die IP des Clients überprüfen. Und wenn diese nicht übereinstimmt eine Meldung ausgeben "Gehen Sie weg".

Frank