Brauche noch mal Hilfe !

noname

noname

Mitglied
Ich möchte für meine Homepage einen Login für einen Adminbereich machen. Dieser soll Multiuser fähig sein.
Zur Verfügung steht mir eine MYSQL Datenbank.

Zum Problem :

Ich hab auf meiner Startseite ein Login : Benutzername + Passwort.

Ich möchte jetzt, dass er die Daten, die eingeben wurden, in der MySQL Datenbank sucht und wenn er eine Übereinstimmung gefunden hat, sie in einem Cookie speichert und dann sofort die zu schützende Seite aufruft.
Ich möchte auch unterschiedliche Rechte vergeben können.

Kann man das nicht so machen, bei den zu schützenden seiten :

Man schreibt an den Anfange jeder zu schützenden Seite, dass er erstmal nach dem Cookie suchen soll und welche Rechte man braucht um die jeweilige Seite aufzurufen..

Wie schon erwähnt, darf die zu schützende Seite erst geöffnet werden, wenn ein passender Cookie gefunden wurde...

Ansonsten soll : LOGIN FEHLGESCHLAGEN kommen...

Ich bedanke mich schon mal im Vorraus, dass ihr mir geholfen habt..

P.S. Ich habe schon den kleinen süßen SEARCH Button benutzt...Habe aber leider nichts gefunden, wo ich durchsteige...bin nämlich noch nen NooB...Das Einzige, was ich kann ist, dass ich etwas in eine mySQL eintrage und auslese...hehehe
 
und was willst du jetzt genau wissen ?
hast doch eigentlich schon alles hingeschrieben wie mans machen muss..
und zu den rechten machste einfach ne if anweisung wie
if($rechte == 1)
{
DEINE SEITE
}
else
{
echo"Sie haben nicht die benötigten zugriffsrechte";
}

nur des ist gar nicht so einfach mit solchen zugriffsrechten...
 
eigentlich wollte ich nur wissen, wie man das alles macht...so mit cookie usw......hab überhaupt kein plan..

hehe
 
Für Admin Bereiche nimmt mann:
.htaccess

bewiesener masse einiges sicherer als
php lösungen da z.b die Passwörter nicht in klarschrift abgelegt werden sondern anhand crypt verschlüsselt sind.
 
kannst ja auch die PWs verschlüsseln...
nur mit htacces kann man wohl kein "Zugriffsrechte-System" oda sowas machen ? oder geht eds irgendwie ?

ach und sowas zu coden braucht ein bisschen ich denke net dass sich da jetzt einer die mühe macht des zu coden ausser jemand hat es schon fertig..
 
Richtig wenn mann ein System entwickelt mit Gruppenrechte und userrechte dann ist das ganze natürlich nicht über .htacces möglich. Das .htaccess sollte jedcoh vor jedem admin als 1. Instanz des Passwort schutzes stehen. Denn an PHP source ranzukommen ist leichter als die meisten vermuten.
 
naja bis jetzt hab ich es noch nicht geschafft an php-source zu kommen
und ich wüsste auch niemanden der es bis jetzt geschafft hat mein login zu umgehen..
 
Um da ranzukommen muss mann ein wenig was von Webservern und UNIX / Linux verstehen.

Zum beispiel haben 3 Hostingfirmen die ich kenne ihr /tmp allen usern zugänglich gemacht.
Sprich jeder der webspace auf dem server hat kann komischerweise daten unter /tmp ablegen oftmals unbeschränkter grösse.
Da die voreinstellung der rechte des /tmp verzeichnisses :
drwxrwxrwt root root
sind.
So wie diese einstellung (die einerseits sinn macht) sind auch andere "Fehlkonfigurationen" möglich.

Punkt ist zum beispiel auch ungefilterte
Formular bearbeitungen.

Wer geht nicht oftmals hin und bastelt sich ein query wie :

PHP: 
$name // kommt vom formular <input name=name


select pass from user where name = $name

was ist wenn ich z.B.
als variable name mit folgendem wert übergebe: join select ....

habs jetzt nicht getestet ob php/mysql da mitmacht. Aber bei asp & sql server ist es möglich das so zu hacken.

Ist recht interressant wieviele Tricks es gibt um an php Quellcode ranzukommen.

Tip dazu:
php-secure maillist lesen.
äusserst hilfreich.
 
bekomm ich denn dann jetzt ne antwort von euch ?? Ich möchte es nicht mit .htaccess machen...wie ihr ja schon gesagt habt, kann man da nichts mit userrechten usw... machen...
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück