Session System

[steff]

Hallo

Ich bin gerade dabei eine Seite zu schreiben und stehe jetzt vor der Entscheidung wie ich
das Benutzersystem realisieren?

Arbeite mit php4 und mysql. Hab ne Datenbank für die User angelegt das eintragen und das Login sind fertig jetzt geht es um die Weiterleitung der Nutzerdaten an die anderen Seiten des Projekts. Forum, Chat usw.

Welche Möglichkeiten (php_sessions, http Autorisation, Direkt über die links Variabeln verschlüsselt weitergeben) gibt es und was sind eurer Meinung nach die vor und nachteile.

 

[Spontan]

sessions --> am besen/einfachsten/sichersten
oder per .htaccess
an die links ranhängen is nichts wenn man an öffentlichen pc's ist
wie du sessions realisierstfindest du unter den tuts bzw. auf:
--> hier <---
CyA

 

[steff]

Und wie ist das mit den cookies
Welche tricks gibts da um die seite auch ohne die funktionsfähig zu halten??

 

[Vitalis]

Das wüßt ich auch gern. Wie ist das mit Sessions? Wann werden zur Identifizierung Cookies, wann die IP verwendet? Läuft das automatisch ab?

 

[bad taste]

aslo ich verwende für so was sessions....

d.h. wie im tutorial dazu beschrieben...http://www.tutorials.de/forum/showthread.php?threadid=9684
d.h. du hast eine seite, einloggen.php, wo der user seinen namen und passwort eingibt. diese form verweist am besten auf sich selbst.....
dann ´kann man prüfen, ob der user mit diesem passwort besteht und setzt dann eine variable $user_eingeloggt auf true..... die wird dann in die session aufgenommen......
jede seiter, die nur registrierte user sehen dürfen, sieht dann so aus:

session_start();
if($user_eingeloggt){
  //hier der inhalt der seite...
}
else{
  echo 'sie haben keine berechtigung diese seite zu betrachten....<br>';
  echo 'sie müssen sich zuerst einloggen....';
  echo '<a href="einloggen.php">zum einloggen</a>';
}

dann brauch man auf der einloggen.php noch die möglichkeit, auszuloggen, damit kein anderer mehr rein kann.......
da setze ich immer $user_eingeloggt auf false und mach session_destroy()...... den befehl mag ich

jo so funzt das im großen und ganzen..is in dem tut auch so in etwa erklärt.....

zu den cookies.....die würde ich nicht nicht verwenden, wenn die infomationen auf den seiten vertraulich sind....denn mit cookies kann man den kram ja sehen, wenn man am pc eines users ist, und muss keine weiteren passwörter eingeben, so wie auf tutorials.de

//hoffe das hilft

//bad taste

 

[Spontan]

Original geschrieben von Vitalis
Das wüßt ich auch gern. Wie ist das mit Sessions? Wann werden zur Identifizierung Cookies, wann die IP verwendet? Läuft das automatisch ab?

also php erstellt eine nummer und speichert sie auf dem pc des users(cookie)
zu der nummer wird auf dem server eine file-erstellt indem man daten(name/pw/...) speichern kann.

 

[Vitalis]

okay, aber ich habe irgendwo gelesen, daß statt cookie auch die IP der Users zur Identifizierung genommen wird. Nur wann ist das der Fall?

 

[bad taste]

also ich hab das noch nie gehört, dass das zur identifikation genommen wird, sondern eher als sicherheit gespeichertwird, falls jemand mist baut, z.b. dein forum zuspammt oder so.....da speichert man die ip und kann den dann belangen.....

//bad taste

 

[noisy]

Moin !

Also man kann anhand der IP-Adresse den User wiederekennen. Jedoch ist
das eine ziemlich unsichere Sache! Denn im Grunde wird damit eher ein Sicherheitslücke geschaffen. IP-Adressen werden dynamisch vergeben, bei einigen Providern sogar wärend einer Einwahl. Damit würde also jemand anderes die gespeicherte IP haben.

Die IP kann aber zum generieren der session ID verwendet werden. Aber
nicht alleine. Einen anderen dynamischen Wert wie z.B. Datum & Uhrzeit dazu dazupacken, md5(); und fertig !

 

[methodus]

Eins ist bombenfest, IP aufschreiben/speichern alleine bringt nicht den räuber in den knast, sprichwörtlich gesehen. Wenn muss das in verbindung von Zeit und evtl. noch nen paar anderen infos geschehen, die aber nich so wichtig sind. Weil mit datum und zeit kann man vollständig ermitteln, wer die IP zu diesem Zeitpunkt hatte. Deswegen logge ich immer die IP mit Zeit im Sessionmanagment gleich mit, seitdem mir mein gästebuch vollständig gefloddet wurde.

Sessions is ne geniale Idee von PHP, die für meine begriffe auch genutzt werden sollte =)