WebWork Magazin - Webseiten erstellen lassen, Online Medien, html

Webhoster, Webhosting Provider und Domain registrieren

Home | Registrieren | Einloggen | Suchen | Aktuelles | GSL-Webservice | Suleitec Webhosting
Reparatur-Forum | Elektro forum | Ersatzteilshop Haushalt und Elektronik



Im Homepage und Webhosting-Forum --- Frage zu PHP-Sessions

Scripte und Programme für PHP, MYSQL. Diskussionen zur Programmierung im Web. Fragen zu CMS, Blogsoftware, Shops, Newsletter und vielen weiteren Scripten.

Forum » PHP & MySQL » Frage zu PHP-Sessions - 13 Juli 2024 Antworten
im Forum für Webhosting Homepage gefunden:
Frage zu PHP-Sessions
ramon
Pixelschubser
Threadstarter




Beiträge: 2

Habe mich mal ein wenig damit beschäftigt, da ich eine mysql datenbank anwendung in Verbindung mit PHP habe, und dieses über ein Login-System steuern möchte.

Dazu verwenden will ich die PHP-Session, und habe eigentlich auch schon geschafft was ich wollte,nur sieht man das ein bissl zu "einfach" aus, und ich wollte mal fragen ob da jetzt noch irgendwas fehlt, oder alles stimmt, oder wie !?


hier mal meine login.php - ist denke ich selbterklärend:

1: 
2: 
3: 
4: 
5: 
6: 
7: 
8: 
9: 
10: 
11: 
12: 
13: 
14: 
15: 
16: 
17: 
18: 
19: 
20: 
21: 
22: 
23: 
24: 
25: 
26: 
27: 
28: 
29: 
30: 
31: 
32: 
33: 
34: 
35: 
36: 
37: 
38: 
39: 
40: 
41: 
42: 
43: 
44: 
45: 
46: 
47: 
48: 
49: 
50: 
51: 
52: 
53: 
54: 
55: 
56: 
57: 
58:


    
        ...please log in !!!
    
    




 

user:

password:



und in den anderen, nächsten dateien mache ich nur n session_start() und hole mir den gespeicherten namen mit

$user = $_SESSION["user"];

und die $user nehme ich dann für die datenbankbefehle als usernamen halt, wo entsprechende db-einträge editiert oder gelöscht werden können und so.

mehr ist das nicht, und das is so ein korrektes login system ? Oder muss ich doch noch irgendwo was vergleichen oder so.


zu der datei oben habe ich auch eine frage noch:

die variablen $user und $password kann er ja erst korrekt belegen,wenn das formular abgeschickt wird, und dann macht er mit den variablen noch die db-abfrage um die die daten für den vergleich zu bekommen ? Ich meine,es geht ja,verstehe nur nicht ganz warum, weil die variablen ja erst belegt werden können,wenn das formular abgeschickt wird !?

  Profil   Editieren   Zitieren
subjective
Forenheld




Beiträge: 844

Üblicherweise arbeitet man intern mit ids - der Benutzername kann sich "theoretisch" auch ändern.

Fehlen tut das Absichern der Formularwerte für das SQL mit mysql_real_escape_string(). Wenn du Pech hast, gibt ein Angreifer einfach SQL statt dem Benuzternamen/Passwort an und modifiziert deine SQL-Query so, dass er kein Passwort mehr benötigt. Bedenke das dies innerhalb von PHP ein einfacher String ist. Erst das DBMS interpretiert ihn.

---
Weaverslave

  Profil   Website   Editieren   Zitieren
ramon
Pixelschubser
Threadstarter




Beiträge: 2

wegen den ID´s.

frage zwar den usernamen ab und vergleiche den,aber habe den in der datenbank nur an einer stelle beim benutzer halt stehen... ändere ich den ab, oder einer will den ändenr,dann klappt das alles nach wievor ,weil ich in den anderen tabellen mit den ID´s arbeite, in der datenbank, dann passt das doch oder nicht ?

kannste mein beispiel mal hier hin schrieben wie das richtig heissen mus bezüglich der angriffe von aussen ?

Diese Nachricht wurde geändert von: ramon
  Profil   Editieren   Zitieren
subjective
Forenheld




Beiträge: 844

Beim Login selbst arbeitet man natürlich mit dem Benutzernamen. Ich würde jedoch die ID des Benutzers in der Session ablegen.

Im Manual findest du ein Beispiel zu mysql_real_escape_string().

---
Weaverslave

  Profil   Website   Editieren   Zitieren
 

Antworten
Forum » PHP & MySQL » Frage zu PHP-Sessions

Aktuelle Beiträge zur Hilfe im Forum für Homepage - Frage zu PHP-Sessions im Forum Homepage Hosting AntwortenLetztes Posting
Rangliste (Ohne Mysql) (Kompliziertes Ordner System)
in "PHP & MySQL"
3 19.07.2021 06:00 von newtopblog
kleines problem mit phpadmin
in "PHP & MySQL"
5 11.04.2021 22:22 von Zavylon
Counter mit PHP
in "PHP & MySQL"
4 22.03.2021 16:29 von Robeni
Fehlermeldung beim Importieren der Datenbank in phpmyadmin
in "PHP & MySQL"
0 02.08.2019 22:14 von iFuchs
CMS für Online Shop
in "PHP & MySQL"
18 26.05.2019 13:29 von raiserle
Regestrierungproblem
in "PHP & MySQL"
3 28.11.2018 13:20 von norbertofahey
PHP Datum ausgeben?
in "PHP & MySQL"
1 19.10.2018 10:04 von Klaus1973
PHP befehl ausführen
in "PHP & MySQL"
11 16.08.2018 09:08 von Klaus1973
Visual Composer selber programmieren?
in "PHP & MySQL"
0 22.01.2017 23:45 von Redji
php preg_replace_callback für dynamischen Link
in "PHP & MySQL"
0 05.07.2016 11:02 von Rm21
PHP Code verschlüsseln
in "PHP & MySQL"
20 21.02.2016 21:25 von Kilian1
migrierter WP-Blog läuft nicht ...
in "PHP & MySQL"
0 04.02.2016 02:01 von Oxygon
Fertige PHP Scripte für Ihre Homepage
in "PHP & MySQL"
0 16.12.2015 12:02 von PHP-Script-Shop



Besucher : 8044582    Heute : 890     Gestern : 1777     Online : 12     13.7.2024    7:39      2 Besucher in den letzten 60 Sekunden        
alle 30.00 Sekunden ein neuer Besucher
Nach oben