Hallo, ich stehe davor ein Login System auf PHP & MySQL Basis zu schreiben und mache mir jetzt gedanken zu dem Thema. Es geht mir im genauen darum, wie ich am besten da ran gehe. Hier gibt es ja zwei Tutorials zu dem Thema, eins - zwei.
Das erste ist mir momentan einfach noch zu unverständlich. Mit dem zweiten komm ich gut zurecht, und in etwa so werde ich das wohl auch machen, zusätzlich noch per Cookie den dauerhaften login ermöglichen. Allerdings bin ich mir einfach nicht sicher ob das so der beste und sicherste Weg ist. Ich hab einfach noch so ein kleine Verständnis Problem allgemein was Sessions betrifft.

Also, das ganze sieht dann ungefähr so aus.

Per Formular wird ein User Name und ein Passwort übergeben, das wird dann mit den Daten in der Datenbank verglichen, wenn ein passender Datensatz vorhanden ist werden dann die Session Variablen erstellt. Ok, so weit komm ich mit. Die Session Variablen werden per session_start() dann verfügbar gemacht.

Reicht es dann einfach wenn ich abfrage, ist z.B. die Variable

PHP-Code:

$_SESSION["user_name"] 


vorhanden, falls ja, bekommt die Personen eben die Sachen für registrierte User zu sehen, andernfalls nicht. Das würde ich dann mit einer einfachen Abfrage machen wie:

PHP-Code:

if(isset($_SESSION["user_name"])) {
    echo "geheimer Inhalt";
} else {
    echo "für jeden zugänglicher Inhalt";
} 


So, jetzt geht es mir wie gesagt im allgemeinen um die Sessions. Können auf diese Weise jetzt z.B. 5000 User die gleichzeitig online sind gehandhabt werden?

Und, wozu dient die Session ID? Bei Wikipedia habe ich nachgelesen, dass man sie zum Beispiel zum realisieren eines Warenkorbes nutzen kann. Aber in meinem Fall muss ich mir um die Session ID jetzt keine Gedanken machen oder?


Ja, also ich hätte einfach gerne irgendwie ein paar Informationen zu Sicherheit, realisierbarkeit, usw.. einfach alles was für das Thema wichtig ist.


Danke im vorraus.

Grüße

Wichtig ist, dass session_start() VOR jeder Ausgabe kommt und dann mit session_register("variable") die Variable gespeichert wird. Danach kannst du mit $_SESSION['variable'] auf den Inhalt zugreifen. Ansonsten ist dein Vorgehen absolut korrekt. Aber ich würde dir empfehlen, dass du den Usernamen und das Passwort immer neu übergibst und immer fragst, ob man eine Berechtigung hat, nicht nur übnerprüfen, ob die Variable usernam leer ist. Einfach aus Sicherheitsgründen.

Ich hoffe ich konnte helfen.

Tseng

Naja, ich habe dazu gelesen ( http://www.php.net/session_register ), das es wohl nicht notwendig und veraltet ist, außerdem läuft es unter register_globals = off nicht.. trotzdem danke.

Sonst noch wer eine Meinung dazu?