Nur für user
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
absicherung
aufruf
frage
http
identifizieren
jemanden
laufen
login
manual
meinung
prinzip
protokoll
session
sicherheitsstandard
sinn
stehlen
url
verschiedene mechanismen
verwenden
wissen
-
Ich wollte fragen wie das geht das nur user die php seite ansieht und nicht die gäste
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
$logged_in = [Prüfen ob eingeloggt]; $url_der_Fehlerseite = "bitte_einloggen.html"; if (!$logged_in) die(file_get_contents($url_der_Fehlerseite));
Falls der User nicht eingeloggt ist, wird ihm eine HTML-Seite angezeigt. Sehr einfach.
Geht auch mit .htaccess, allerdings ist das (meistens) inkompitabel mit PHP-Logins.
Beitrag zuletzt geändert: 22.8.2012 16:50:08 von sebb767 -
mf-hd schrieb:
Das Funktioniert mit Sessions.
PHP: Sessions - Manual
Er hat nach einer Sperrungsmöglichkeit gefragt, das wäre eine Login-System Grundlage. Vielleicht hat er ja sein eigenes entwickelt ^^ -
Dafür gibt es verschiedene Mechanismen. Wichtig sind vor allem Cookies und/oder Sessions. Tatsächlich gibt es (meines wissens) aber keine Pauschal-Lösung für das Problem.
Letztenendes kommt es auf den Sicherheitsstandard an, den du verwenden willst. Beispielsweise sind die PHP-Internen Sessions ( wie ich gehört habe ) relativ unsicher. Es kann also Sinn machen, sich etwas selbst zu schreiben. ( ggf. mit SQL o.ä. )
Das Quake#Net-Tutorial gibt einem meiner Meinung nach eine gute Einführung in das Thema. -
notinthetext schrieb:
Dafür gibt es verschiedene Mechanismen. Wichtig sind vor allem Cookies und/oder Sessions. Tatsächlich gibt es (meines wissens) aber keine Pauschal-Lösung für das Problem.
Letztenendes kommt es auf den Sicherheitsstandard an, den du verwenden willst. Beispielsweise sind die PHP-Internen Sessions ( wie ich gehört habe ) relativ unsicher. Es kann also Sinn machen, sich etwas selbst zu schreiben. ( ggf. mit SQL o.ä. )
Das Quake#Net-Tutorial gibt einem meiner Meinung nach eine gute Einführung in das Thema.
Das gerät zwar jetzt etwas Off-Topic (seine Frage war, wie man die Seite sperren kann, nicht wie man jemanden identifiziert), aber leider gibt es für Sessions keine besser Möglichkeit; diese laufen ja auch über Cookies.
Im Prinzip kann man einfach die Session-ID, die zufällig generiert wird, erraten/stehlen und den Cookie abändern, sodass man als jemand anderes eingeloggt ist.
Man kommt so oder so nicht darum herum, man kann aber zB noch ein hidden-Field oder einen zweiten Cookie zur Absicherung verwenden oder die IP bei jedem Aufruf abgleichen: 100% ist jedoch alles nicht, da das HTTP-Protokoll von sich aus keine Möglichkeit für den Server gibt, den Client eindeutig zu identifizieren.
Beitrag zuletzt geändert: 22.8.2012 17:06:17 von sebb767 -
sebb767 schrieb:
Nicht zwingend. Du kannst Sessions auch ( mehr oder weniger unsicherer ) über POST- oder GET-Variablen übergeben. ( Beispielsweise wenn der Browser des Clients keine Cookies annimmt. )
Das gerät zwar jetzt etwas Off-Topic (seine Frage war, wie man die Seite sperren kann, nicht wie man jemanden identifiziert), aber leider gibt es für Sessions keine besser Möglichkeit; diese laufen ja auch über Cookies.
sebb767 schrieb:
Und soweit ich weiß, ist genau das das Sicherheitsmanko an den internen Sessions von PHP. Aber ich habe mich nie wirklich intensiv damit beschäftigt.
Im Prinzip kann man einfach die Session-ID, die zufällig generiert wird, erraten/stehlen und den Cookie abändern, sodass man als jemand anderes eingeloggt ist.
sebb767 schrieb:
Nun, wenn du eine n-Byte Session verwendest ( Für n>256 ) ist das erraten doch relativ schwierig. Bei >~3000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 Kombinationsmöglichkeiten.muss man schon ziemlich viel Glück haben, den richtigen Cookie zu erraten. Da macht es mehr Sinn, Passwörter zu bruteforcen. Mehrere Cookies sind dazu natürlich äquivalent. Aber das kommt immer auf den Sicherheitsstandard an, den man benötigt. Für die kleinen Spielereien, die ich so anstelle, ist sowas vollkommen überzogen, aber wenn man's braucht, kann man die Sessions beliebig schwierig zu erraten lassen.
Man kommt so oder so nicht darum herum, man kann aber zB noch ein hidden-Field oder einen zweiten Cookie zur Absicherung verwenden oder die IP bei jedem Aufruf abgleichen: 100% ist jedoch alles nicht, da das HTTP-Protokoll von sich aus keine Möglichkeit für den Server gibt, den Client eindeutig zu identifizieren.
Ich würde empfehlen - wie schon gesagt - mit dem Quake#Net Tutorial zu beginnen. Das führt einen recht gut in das ganze Login-System-Zeugs ein. Die erweiterung durch eigene Cookies ergibt sich dabei von selbst, wenn man weiß, dass PHP-Cookies ''relativ'' unsicher sind. -
historische-modelle schrieb:
Das ist ganz einfach:
Ich wollte fragen wie das geht das nur user die php seite ansieht und nicht die gäste
Alle User schauen hin, während die Gäste wegschauen.
Oder gings gar nicht um die Gäste des Users? -
hatt sich schon alles erledigt ich habe meine letzten gehirn zellen angestrent und es hat geklappt
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage