Geschützer Bereich

hundi · 4. Juni 2013

Hallo,

ich habe ein PHP Login script gefunden und will mir da nun etwas modifizerien.

Login.php

PHP

<?php
session_start();
?>


<?php
$verbindung = mysql_connect("localhost", "root")
or die("Verbindung zur Datenbank konnte nicht hergestellt werden");
mysql_select_db("phpbbforum") or die ("Datenbank konnte nicht ausgewählt werden");


$username = $_POST["username"];
$passwort = md5($_POST["password"]);


$abfrage = "SELECT username, passwort FROM home WHERE username LIKE '$username' LIMIT 1";
$ergebnis = mysql_query($abfrage);
$row = mysql_fetch_object($ergebnis);


if($row->passwort == $passwort)
    {
    $_SESSION["username"] = $username;
    echo "Login erfolgreich. <br> <a href=\"geheim.php\">Geschützer Bereich</a>";
    echo " <br>";
    echo " Oder zum <br> <a href=\"geheim2.php\">2.Geschützer Bereich</a>";
    }
else
    {
    echo "Benutzername und/oder Passwort waren falsch. <a href=\"login.html\">Login</a>";
    }


?>

Alles anzeigen

geheim.php

PHP

<?php
session_start();
?>


<?php
if(!isset($_SESSION["username"]))
   {
   echo "Bitte erst <a href=\"login.html\">einloggen</a>";
   exit;
   }
   echo "<a href=\"logout.php\">ausloggen</a>";
?>

Alles anzeigen

Kann ich nun nach der selben Art viele verschiedene Seiten erstellen auf denen man eingeloggt sein muss , ohne dass es Zwischenfälle gibt ??

Bitte um Antwort und Hilfe

MfG
hundi

PlaxX · 4. Juni 2013

Auf allen Seiten auf die man nur darf wenn man eingeloggt ist einfach am anfang

PHP

Session_start();

hinzufügen

hundi · 4. Juni 2013

Ok, vielen Dank schonmal.

Ich befinde mich nun in meinem geschützen Bereich und logge mich aus.
Ich ändere in der Adressleiste die URL in www.~~~.de/geheim.php und komme aber trozdem in den Bereich rein und habe vollen Zugriff..
Ist meine Session von eben noch aktiv, oder warum komme ich ohne login dahin ?

PlaxX · 4. Juni 2013

Ich würde mal sagen zu jedem

PHP

Session_start();

gehört auch ein

PHP

Session_destory();

oder ^^?

hundi · 4. Juni 2013

*hust* Logout ?

PHP

<?php
session_destroy();
$host  = htmlspecialchars($_SERVER["HTTP_HOST"]);
$uri   = rtrim(dirname(htmlspecialchars($_SERVER["PHP_SELF"])), "/\\");
$extra = "eintragen.html";
header("Location: http://$host$uri/$extra");
?>

PlaxX · 4. Juni 2013

hmmm.

Destroy mal in der Geheim.php am ende des Scripts gleich die Session wieder mal schaun was dann Passiert...

hundi · 4. Juni 2013

Ja, nun komme ich nichtmehr ohne Login auf die geheim.php .
Aber ich will ja nun auf die geheim.php eingeloggt zugrifen können, auf eine geheim2.php und auf jegliche andere geschützen geheimseiten auch ohne mich bei jedem geheimseitenwechel neu einloggen zu müssen.

Wie schaffe ich das ?

**XeroX** · 4. Juni 2013

Mal neben bei änder mal den Query bitte ab wer das gemacht hat sollte sich nochmal überlegen was LIKE macht.

$abfrage = "SELECT username, passwort FROM `home` WHERE `username`='$username' "; zumal du auch den Benutzernamen escapen solltest mit
mysql_real_escape_string($username); vor dem Query natürlich.

Zum eigentlichen Problem du kannst mit $_SESSION['username'] = $username; beim login den Benutzernamen in einer Session packen. Dann in der geheim.php

PHP

session_start();
if(isset($_SESSION['username'])) // abfragen ob diese Session gesetzt wurde und wenn nicht auf die Hauptseite oder wo du möchtest weiterleiten
{


}

hundi · 4. Juni 2013

Zitat von XeroX
Zum eigentlichen Problem du kannst mit $_SESSION['username'] = $username; beim login den Benutzernamen in einer Session packen. Dann in der geheim.php
PHP
session_start();
if(isset($_SESSION['username'])) // abfragen ob diese Session gesetzt wurde und wenn nicht auf die Hauptseite oder wo du möchtest weiterleiten
{


}

Habe ich doch gemacht in der geheim.php .
Fals noch nicht gemerkt, ich habe den Code im 1. Post geschreiben...

PlaxX · 4. Juni 2013

Wieso eigentlich auf einer Seite 2x dein

PHP

<?php
Session_start();
?>


<?php
?>

?? Wenn ich das jetzt mal so fragen darf

hundi · 4. Juni 2013

die geheim.php und Login.php habe ich nun wieder ein wenig überarbeitet doch ich komme immernoch uneingeloggt auf die geheimseite..

Login.php

PHP

<?php
session_start();
?>


<?php
$verbindung = mysql_connect("~~", "~~")
or die("Verbindung zur Datenbank konnte nicht hergestellt werden");
mysql_select_db("~~~") or die ("Datenbank konnte nicht ausgewählt werden");


$username = $_POST["username"];
$passwort = md5($_POST["password"]);


$abfrage = "SELECT username, passwort FROM home WHERE username LIKE '$username' LIMIT 1";
$ergebnis = mysql_query($abfrage);
$row = mysql_fetch_object($ergebnis);
if($row->passwort == $passwort)
    {
    $_SESSION["username"] = $username;
    echo "Login erfolgreich. <br> <a href=\"geheim.php\">Geschützer Bereich</a>";
    echo " <br>";
    echo " Oder zum <br> <a href=\"geheim2.php\">2.Geschützer Bereich</a>";
    }
else
    {
    echo "Benutzername und/oder Passwort waren falsch. <a href=\"login.html\">Login</a>";
    }


?>

Alles anzeigen

Geheim.php

PHP

<?php
session_start();


if(!isset($_SESSION["username"]))
   {
   echo "Bitte erst <a href=\"login.html\">einloggen</a>";
   exit;
   }
   echo "<a href=\"logout.php\">ausloggen</a>";
   echo "<br>";
   echo "<a href=\"geheim2.php\">Seite</a>";



?>

Alles anzeigen

Developer · 4. Juni 2013

PHP

<?php
session_start();
$verbindung = mysql_connect("~~", "~~")
or die("Verbindung zur Datenbank konnte nicht hergestellt werden");
mysql_select_db("~~~") or die ("Datenbank konnte nicht ausgewählt werden");


$username = strip_tags($_POST["username"]);
$passwort = md5($_POST["password"]);


$abfrage = "SELECT * FROM home WHERE username = '$username' AND passwort = '$passwort'LIMIT 1";
$ergebnis = mysql_query($abfrage);
if(mysql_num_rows($ergebnis) > 0)
{
    $_SESSION["username"] = $username;
    echo "Login erfolgreich. <br> <a href=\"geheim.php\">Geschützer Bereich</a>";
    echo " <br>";
    echo " Oder zum <br> <a href=\"geheim2.php\">2.Geschützer Bereich</a>";
}
else
{
    echo "Benutzername und/oder Passwort waren falsch. <a href=\"login.html\">Login</a>";
}


?>

Alles anzeigen

Übrigens kleiner tipp:
Mach dir ne index.php -> oben einmal session_start(); -> Andere seiten via require,$_GET & file_exists dann einbinden und dann sollte das mit den sessions auch richtig klappen

PHP-Tobi · 4. Juni 2013

Grundsätzlich sieht das bei mir immer gleich aus vom Aufbau her.
Das schreibst du in die index.php:

PHP

<?php
session_start();
if(isset($_SESSION['loggedin'])){ //Bereich für eingeloggte Nutzer
   if($_GET['site']=='kontakt'){ //Überprüfen ob die Seite Kontakt aktiv ist - domain.de/index.php?site=kontakt
      require_once('kontakt.php');
   }elseif($_GET['site']=='impressum'){ //Überprüfen ob die Seite Impressum aktiv ist - domain.de/index.php?site=impressum
      require_once('impressum.php');
   }else{ //Falls keine der Seiten aufgerufen wurde - normalerweise hier die Start Seite anzeigen
      require_once('home.php');
   }
}else{
   require_once('login.php');
}
?>

Alles anzeigen

Und dann legst du einfach noch die Dateien login.php usw. an.

Login.php füllst du dann einfach mit dem Login Formular, der Abfrage und dem Setzen der Session Variable aus.
Die Seiten auf denen nur eingeloggte Nutzer zugriff haben sollen, sind schon "geschützt" wenn man diese über index.php aufruft, daher empfehle ich die in das Verzeichniss zu verschieben, auf dass man nicht im Web zugreifen kann. Kannst aber zur Sicherheit an den Kopf jeder Datei das einfügen:

PHP

<?php
if(!(isset($_SESSION['loggedin']))){
   echo '<meta http-equiv="refresh" content="0; URL=/index.php">';
   exit;
}
?>

Gruß
Tobi

Blu3scReeN · 4. Juni 2013

[b]Erstell am besten die Datei auth.php

PHP

<?php


  session_start();


  if (!isset($_SESSION['loggedin']) || !$_SESSION['loggedin']) {
    header('Location: login.php');
    exit;
  }


?>

Alles anzeigen

Diese includest du halt mit

Code

include('auth.php');

, das leitet dich weiter, wenn keine Loginsitzung besteht.

hundi · 5. Juni 2013

Ok, die Session "richtig gestartet" habe ich nun, aber wie zerstöre ich es nun auch richtig ?

Ich bezweifel selbst, dass das mit zwei Zeilen so stimmt...

logout.php

PHP

<?php
     session_destroy();
     header('Location: index.php');
?>

PHP-Tobi · 5. Juni 2013

Doch, genau richtig

hundi · 5. Juni 2013

Zitat von PHP-Tobi

Doch, genau richtig

Kann aber nicht sein, da ich immernoch auf den geschützen Bereich uneingeloggt komme, obwohl ich es nach Blu3scReeN Art gemacht habe..

Ich habe bei meiner $_SESSION["loggedin"]; den eintrag !1! vorgenommen und mir auf der geheimseite per echo ausgeben lassen.
Wenn ich die URL auf die geheimseite.php änder steht da immernoch das eingetragene und ich kann natürlich auf die seite zugreifen, ohne dass ich auf login.php umgeleitet werde...

PHP-Tobi · 5. Juni 2013

session_destroy zerstört die gesamte Session.
Dann muss wo anders ein Fehler sein..

Sonst gebe dir doch einfach mal die gesamte session aus. print_r($_SESSION);

hundi · 5. Juni 2013

Ich habe nun auf jeder Seite mir alle Sessions anzeigen lassen mit

PHP

print_r($_SESSION);

Und habe dannach auf jeder Seite die Sessions zersört, damit nichtsmehr da ist.

Auf der Logout.php habe ich nun das Anwendungs-Bsp aus der PHP Manual genommen, dies funktioniert nun auch.

Nun komme ich auf keine Geschütze Seite mehr.

Vielen Dank PHP-Tobi und alle anderen, die mir auch geholfen haben

breadfish.de 12. März 2022