Session <-> Gedankengang

[tefla]

Also ich mache mir gerade Gedanken um ein Login System und da nur Cookies keine komfortable Lösung sind, hab ich mich für ein session system entschieden.

ich habe aber da irgendwie noch denkfehler drin in der theorie:

1. ich speichere alle usernamen und [passwörter (md5 string)] in einer mysql db.

2. ich habe verschiede user levels, bzw. attribute bool(editieren, löschen, schreiben, alle editieren, alle löschen)

ok nun stell ich mir das so vor, dass ich checke ob der user das richtige passwort angibt, wenn ja soll die session gestartet werden und name und passwort als session variablen registriert werden.

so meiner meinung nach ist es aber gefählrich das passwort zu übergeben, da ja z.b. bei einer url übergabe der link kopiert werden könnte und damit der der den link dann erhält in der selben session ist. thats bad !!!

übergebe ich das passwort aber nicht, kann ich doch den user nicht mehr genau seinen passwort später zuordnen, nehmen wir an es gibt 2 user hans, was nun ???

ausserdem müsste ich dann ja auf jeder seite eine mysql prüfung machen, ob der user zum passwort gehört etc.

wär über konstruktive vorschläge echt dankbar. wie ich am besten solch ein session login und loginbereich bewerkstelligen würde.

ihr braucht mir keine codes zu geben lieber einen theoretischen anstoss

ps: bevor jemand meckert das ich suchen soll, ich hab gesucht und teilweise hat es mir geholfen aber auch so manches verwirrt

 

[dave_]

du musst die user ja nicht nach dem namen identifizieren, nimm doch einfach die id.

das mit der übergabe per url verstehe ich nicht ganz, meinst du die session id?

was anderes kannst du wohl nicht meinen
und da ist keine gefahr, da die sid auch beim client gespeichert, und mit der auf dem server verglichen wird.

beispiel:
//edit: nagut das mim beispiel geht nicht, die wird rausgeworfen..

 

[Tommy]

In den Tutorials gibt es eine gute Anleitung dazu.

Anstatt die Usernamen und Passwort zu übergeben, wird legentlich "operator", "halfop",... etc. übergeben und dies mit den entsprechenden Rechten versehen.

Mit Schließen des Browsers wird ja auch automatisch die Session beendet und jedes gutes Controlpanel bietet ja auch die Möglichkeit eines Logouts.

 

[tefla]

ja aber wenn ich die session id per url übergebe

und ein anderer bekommt dieses link zugeschickt und öffnet diesen, hat er aber im moment doch genau die gleichen zugriffsrechte wie der jenige, dem die session eigentlich gehört, oder nicht ???

 

[tefla]

also ist es definitiv unmöglich bei erhalt einer session id ? in eine fremde session einzusteigen ???

 

[dave_]

afaik ja.

 

[tefla]

ich hab zwar kein plan was afaik heisst, aber das ja stimmt mich positiv

 

[dave_]

as far as i know heisst das

ich schreibe ungern einfach "ja", was weiss ich obs irgendwie möglich ist, aber einfach per copy & paste kommst du damit garantiert nicht rein, wär ja noch schöner.

 

[tefla]

alles klar dann denke ich sollte es nich so schwer sein

afaik

^^