Hi.

wollte mal fragen, wie man das Einloggen (und Ausloggen) eines Users am besten steuert, also wie das Passwort übertragen wird, wie kontrolliert wird, dass man eingeloggt ist (auch auf Filgeseiten) etc. Wie funktioniert das z. B. hier im Forum? Welche Möglichkeiten sind "sicher"?

Danke .


---

hier im forum geht das über cookies - der vorteil ist, man bleibt eingeloggt.

die variante die ich für wesentlich schöner halte sind session-ids... kurze überprüfung, erstellung einer session-id und bei jedem link wird kurz geprüft ob die abgelaufen ist, ob ip, browser, etc. noch übereinstimmen - ansonsten rausschmiss...

Gibt es denn irgendwo ein richtig schönes Sessions-Tutorial? Was ich bisher gefunden habe, war eher ein Vorführen von Sessions, denn ein Erläutern.
Ich frage, weil ich irgendwie meine Sessions zusammengeschustert habe, bis es funktioniert hat, aber so richtig verstanden habe ich sie nicht. Muss z.B. auf jede Seite ein session_start? Brauche ich session_de-/encode, wenn ja wofür? Wie bestimme ich wie lange eine Session gültig ist? Wie frage ich die Gültigkeit ab?

_________________
Unsere & Meine

[ Diese Nachricht wurde geändert von: Manticor am 2002-05-22 21:29 ]

---

öhem ich machs eh etwas anders (möge man mich nun hier erschlagen) - ich speicher sessions grundsätzlich in einer datenbank ab...

such mal - sonst koehntopp hat doch sicher was zu dem thema...

Ja, da ist tatsächlich einiges . Danke.

Nur zu decode und encode habe ich noch nichts gefunden, aber wie es scheint braucht man es für die geöhnliche Session nicht - komischerweise verwende _ich_ es...


---

Michael schrieb am 2002-05-22 21:34 : öhem ich machs eh etwas anders (möge man mich nun hier erschlagen) - ich speicher sessions grundsätzlich in einer datenbank ab...

welche vorteile versprichst du dir dabei - würde mich interessieren - man lernt ja ständig dazu, wenn es brauchbares ist


---
.: Web 2.0 Entwickler & seine Notizen :.

ich packe dort alle relevanten daten über den user rein und kann so später auch ein active-log, etc. einbauen...

auch finde ich es vom checken der gültigkeit einfacherer...

Sollte man (und kann man) die Userdaten, die mein Einloggen gesendet werden irgendwie verschlüsseln oder ist das bei einer "normalen" Seite übertrieben?

---

Zum Verschlüsseln muß dein Server eine sichere Verbindung aufbauen. Wenn dann muß die Verbindung verschlüsselt werden, die verschlüsselung der Daten ist nciht möglich und würde auch nichts bringen.

Wie schon im CGI-Bin Forum berichtet wird es hier bal eine Tutorial zu diesem Thema geben.

Wichtig zu beachten ist auch daß der User über den Browser Backbutton nciht wieder zurück auf die geschützte Seite kommt und daß er sich nicht über die URL einloggen kann.

Das Abspeichern in die Datenbank finde ich sehr sinnvoll, besonders auch zum erstellen von Statistiken und grundsätzlich wegen der Sicherheit.


---
We are born wet, naked and hungry, then things got worse!