Home - Programmieren - PHP - PHP: Login-Script (Sicherheit mit Sessions)
Hinweis: Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich. Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren. [Druckansicht] [Als E-Mail senden] [Kommentar verfassen] PHP Login-Script (Sicherheit mit Sessions)Allgemein
Angenommen Sie möchten erreichen, dass ein Teil Ihrer Webseite nicht jedem Besucher, sondern nur einem bestimmten Personenkreis zur Verfügung stehen. Sie schaffen also einen Login-Bereich, bei dem sich jeder Besucher Iherer Seite anmelden muss.
********************************************************************* LOGIN-Bereich*********************************************************************
Sollte jemand versuchen, mit einer fremden Session-Id oder durch direkten Aufruf der Seite sessoin_check.php Zugang zu Ihrer Seite zu erlangen, wird er durch die folgenen Anweisung zur eigentlichen Startseite zurückgeleitet, um ein korrektes LOGIN durchzuführen:
Header("Location:index.php");Die eröffnete Session wird danach gelöscht und das Programm bricht an dieser Stelle durch die Funktion "exit();" ab. Am Schluss müssen sie den Benutzernamen und das Passwort noch auf Gültigkeit prüfen. Es empfiehlt sich, dieses Problem mit einer Datenbank zu lösen, wenn sie mehrere Persoen mit unterschiedlichen Passwörtern Zugang zu Ihrer Seite gewähren möchten. Die Sicherheit Ihrer Webseite ist beim Einsatz von Sessions nur dann gefährdet, wenn jemand die aktuelle Session-Id errät oder Zugriff auf Ihren Session-Ordner erlangt. Insbesondere bei kommerziellen Seiten sollte ein solcher Zugriff ausgeschlssen sein und der Session-Ordner auch nicht unbedingt den Standartnamen besitzen und im Standartverzeichnis (z.b C:\...\tmp) abgelegt sein. Wenn Sie dann noch den Variablenamen für die Session-ID so wählen, dass er schwer zu erraten ist, haben Sie schon ein gewisses Mass an Sicherheit erreicht! Es folgt der Quellcode der beiden PHP-Dateien. Quell-Codelogin.php
<?php session_start(); ?>
check_session.php
<?php session_start(); if($_SESSION[s_id]!=session_id()) { session_destroy(); Header("Location:index.php"); exit(); } $_SESSION["benutzer"]=$_POST[benutzer]; $_SESSION["password"]=$_POST[password]; $ID=$_SESSION[s_id]; if( (empty($_SESSION[benutzer]))||(empty($_SESSION[password])) ) { echo("Bitte vollständige Angaben machen!<br>"); echo("<a href='login.php'>Zurück zur Login-Seite!</a>"); } else { // Auf Passwortkorrektheit prüfuen } ?> Quelle: PHP5, Das Einsteigerseminar; ISBN: 3-8266-7283-6
|
![]() ![]() ![]()
Autoren:04612
Artikel:00815 Glossar:04116 News:13564 Userbeiträge:16556 Queueeinträge:06268 ![]()
Projektsteuerung statt Anwesenheitskontrolle
MONDroid - your monitoring Solution for Android with PRTG-Support Red-Hosting jetzt mit erweitertem Shop-Webhosting-Angebot [Mehr News] ![]()
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
|