PHP&MySQL: Seite administrieren "vereinfacht"?
-
Hallo,
im Bereich PHP bin ich nicht so die Wucht, dennoch versuche ich mich gerade an einer Seite, die online administriert werden kann.
Ich hatte mir das so vorgestellt. Ich habe verschiedene HTML-Seiten mit Inhalten (Text und Bild). Diese Inhalte speichere ich in einer MySQL-Tabelle und nun schreibe ich ein Script, dass diese Inhalte ändert.
Soweit okay?
Nun aber die eigentliche Frage: Ich möchte natürlich nicht, dass jeder meine Inhalte ändern kann und darum muss ein Passwortschutz her. Ich las mal etwas von Sessions, die eröffnet werden, das sah aber n bissel umfangreich aus.
Könnte ich stattdessen auch folgendes tun: Ich habe irgendwo einen Tabelleneintrag, der entweder 0(ausgeloggt) oder 1(eingeloggt) sein kann.
Wenn sich nun ein Anwender einloggt, wird der Wert auf 1 gesetzt.
Nun ist natürlich das Problem: Was, wenn der Anwender sich nicht ausloggt und einfach die Seite verlässt. Ich dachte mir, dass ich zusätzlich zum Log-Status die Zeit der letzen eingeloggten Aktion speichere und wenn nun jemand irgendetwas passwortgeschütztes Aufrufen will und die letzte Aktion sagen wir...5 Min her war, ist man automatisch wieder ausgeloggt.Ist das legitim?
Gruß M
Edit: Mir fiel da gerade eine grosse Schwachstelle auf: Was wenn der Anwender eingeloggt ist und 2 Stunden lang schön in den Toleranzzeiträumen etwas macht? Dann kann doch theoretisch jeder, der die Seite besucht, diese 2 Stunden auch machen, was er will, oder?!
Okay, kennt vielleicht jemand ein schickes Tutorial zu Sessions? *grummel*
-
Ich schon wieder....
Kann ich nicht auch einfach Cookies auf dem Rechner des Anwenders legen, in dem gespeichert wird, dass er gerade (und noch 5 Min.) eingeloggt ist?Edit:
Noch ne Idee (sorry wenn ich rumnerve):
Wie wärs denn wenn ich das Passwort die ganze Zeit mitschleife. Ich wollte eh alles aus der index.php herausmachen und über verschiedene Actions regeln. Dann kann doch der Anwender einmal das PW eigeben. Das wird dann mit übertragen (ala: /index.php?action=login&pw=xx) -> xx am besten verschlüsselt?Nun "weiss" das Script (wenn pw richtig ist), dass er eingeloggt ist und bietet ein Menü. Ein Eintrag könnte da zu folgendem führen:
index.php?action=edit&pw=xxusw.
Sobald einmal kein (oder ein falsches) pw mitgeschickt wird ist man raus.
Ginge das?
-
Natürlich könntest du auf jeder Seite den Login-Status neu überprüfen (also die Logindaten jedesmal übergeben: per URL oder Cookie) - diesen direkt im Cookie zu speichern wäre aber extrem unsicher. Meiner Meinung nach schöner ist es aber, wenn du es mit einer Session machst - auf jeden Fall hast du damit dann auch viel mehr Möglichkeiten (musst nicht immer alles mitschleifen) und wirklich schwer ist das doch auch nicht, da PHP ja eigentlich schon fast alles für dich übernimmt.