geschützter Bereich (hp)

[FiStOfTeRRoR]

hi
ich möchte für meine Homepage einen geschützen Bereich erstellen, es muss sich vorher eingeloggt werden und dann darf man z.b. news posten.

wie erstelle ich einen "geschützen Bereich" ?
Berechtigungen für Ordner + Einteilung von User in Gruppen?
hab meine webspace bei www.funpic.de dort hab ich eine Mysql Datenbank + php zur Verfügung für lau. Ist es überhaupt möglich dort einen geschützten Bereich zu erstellen? Unter z.b. Xampp könnte ich mir vorstellen wie das geht, aber sowas steht mir dort leider nicht zur Verfügung.
Tipps? Links zum Nachlesen?
Hab mir schon gedacht das ich einfach wenn die User eingeloggt sind eine neue Navigationsleiste machen, aber dann wäre das kein geschützter sondern nur ein versteckter Bereich

gruß warchief

thx für eure Hilfe

 

[Shihatsu]

ds zauberwort heisst htaccess

 

[BiBaButzemann]

jo also beim registrieren trägst benutzernamen und passwort in der datenbank ein. beim login wird nachgeschaut ob es diese kombination dann gibt.

wenn es sie gibt, dann legst dem user ne session (wo dann auch z.B. seine user id aus der datenbank drinsteht) an. auf jeder seite im geschützen bereich haust dann halt ne abfrage rein, ob die session existiert. wenn nicht, dann schmeisst ihn halt von der seite (also zeigst ihm eine "geschützer bereich, bitte log dich ein" meldung an).

jetzt mal so ganz grob, wie es ca läuft. glaube jetzt aber nicht, dir damit geholfen zu haben, da es nicht so klingt, als seiest du in sowas zu proggen fit genug.

alternativ gehts auch über htaccess, wo du kaum proggen musst. allerdings ist das dann wieder was ganz anderes und auch nicht dafür gedacht, benutzer zu identifizieren.

 

[FiStOfTeRRoR]

merci

hab es mit .htaccess und einer .htusers datei gemacht

ich muss mich über noch ein weiteres Login Fenster einloggen, wenn ich dieses nu umgehen will , müsste ich eine Session erstellen mit dem benutzer + password mit der auch in der .htusers datei steht , seh ich das richtig?

 

[cart]

Nein. Das ginge dann über die Datenbank.

 

[RRA^StArFiRe]

oder du benutzt www.accessprotect.com
das verwendest so, dass du da nen link angibst, und wenns id und pw stimmt, wird der link aufgerufen.

oder gibt es eine möglichkeit nen http verzeichnis auf unterverzeichnisse zu scannen?

 

[FiStOfTeRRoR]

wie meinst du das mit der Datenbank?

der Ablauf ist doch so, ich wähle ein Verzeichniss (oder Unterverzeichniss) in dem eine .htaccess Datei liegt. Es wird überprüft ob ich schon eingeloggt bin oder nicht (durch eine Session??) wenn nicht, kommt ein Login-Fenster hoch. Das Login-Fenster eröffnet mit einer Session-id meinen Benutzernamen und Password eine Session??? Damit ich mich nicht immer wieder einloggen muss.

Diesen Vorgang möchte ich etwas früher durchführen, durch mein Eigenes script (das überprüft in einer mysql Datenbank ob user mit dazugehörigen Password existieren)
Also müsste ich, nach meiner Logik her, eine Session nach dem Login-Script von mir eröffnen damit das Login-Fenster nicht mehr erscheint.
right??

 

[cart]

Nein.
Die htacces-Session (bezeichnen wir es einfach mal so) ist etwas anderes als die Session die du mit PHP starten kannst.
Ein gescheites Loginscript hat als Input ein Formular das du abschickst. Dann wird in der DB nach dem User usw geschaut und wenn alles passt eine Session eröffnet in der sofort entsprechende Variablen gesetzt werden.
Anhand dieser Variablen überprüfst du dann welche Seiten der User sehen darf und welche nicht. Dafür brauchst du nichtmal ein Unterverzeichnis o.ä..

 

[FiStOfTeRRoR]

Original geschrieben von cart
Nein.
Die htacces-Session (bezeichnen wir es einfach mal so) ist etwas anderes als die Session die du mit PHP starten kannst.
Ein gescheites Loginscript hat als Input ein Formular das du abschickst. Dann wird in der DB nach dem User usw geschaut und wenn alles passt eine Session eröffnet in der sofort entsprechende Variablen gesetzt werden.
Anhand dieser Variablen überprüfst du dann welche Seiten der User sehen darf und welche nicht. Dafür brauchst du nichtmal ein Unterverzeichnis o.ä..

Versteh ich das richtig das deins der Methode von Bibabutzemann entspricht? Ich müsste also bei den geschützten Dateien eine Abfrage erstellen ob sie dieses File überhaupt öffnen dürfen. Und könnte mir dann die .htaccess sparen.

schonmal vielen dank

 

[Gast]

sessions machen imho nur bei (grösseren) php-projekten sinn.
htaccess is für sowas schon ok.

 

[Picard]

Original geschrieben von wArChIeF


Versteh ich das richtig das deins der Methode von Bibabutzemann entspricht? Ich müsste also bei den geschützten Dateien eine Abfrage erstellen ob sie dieses File überhaupt öffnen dürfen. Und könnte mir dann die .htaccess sparen.

schonmal vielen dank

das kannst du nur machen wenn die file auch nen .php ist. willst zum beispiel downloads oder bilder schützen, bringt dich php auch nicht weiter (k, man müsste filenames erraten können, aber wo ein wille ist ist auch ein weg)

wenn du wirklichen schutz willst kommst um httaccess net rum (und der ist auch relativ sicher!)
sessions oder allgemein mit datenbankanbindungen kann man ziemlich leicht >>hacken<<... hier mal ausversehen ne variable im statement und/oder das escapen vergessen und und schon kriegt man das adminpasswort raus ...

 

[FiStOfTeRRoR]

ok besten dank erstmal für die tipps

das mit den session hab ich nu einigermaßen begriffen(hoff ich). Es funktioniert auch bei mir.

Bei der Methode .htaccess stört mich einfach, das so ein extra Login-Fenster hochgeht (ja ok vielleicht stell ich mich auch deswegen etwas an). Könnt ihr mir Sagen wie ich das umgehen könnte? Würde gerne so ein Login Bereich standardmäßig auf die HP bauen, worüber sich die User einloggen können.
Najo für den internen Bereich hab ich eh noch nix großes geplant.
Bis jetzt ist er dafür da, dass sich Leute einloggen können und dann News schreiben dürfen.


Das alles passiert zur Zeit eh nur aus Spaß, ich will damit nix professionelles erzeugen(was ich wahrscheinlich eh nicht könnte ), möchte mich nur über die Sachen informieren und ausprobieren ob ich es hinbekomme