Hvordan laver jeg bedst login til flere brugere?

Ja det er det.

MEN du skal også lige sikre dig at folk ikke selv kan hoppe til mapperne uden at logge sig ind. Dvs. at alt der foregår i mapperne skal tjekkes for om personen er logget ind (og har adgang til den specifikke mappe).

kan man ikke gøre det hva. en session?

ja :^)

Ok, login script er lavet og jeg havde tænkt mig at bruge cookies for at checke authorisation. De forskellige brugere skal som sagt videresendes til en specifik mappe. Er der noget med at jeg i cookien kan begrænse brugerens authorisation?

Fx.: setcookie("auth", "værdi", 0, "/", "mitdomæne.dk", 0);

Hvis jeg så sætter "/" til "/bruger" vil det ikke være nok?

... ja og selvfølgelig ligger en index fil i hver mappe der checker for cookie:

<?php
if ($_COOKIE[auth] == "1") {
    echo "Du er autoriseret.";
} else {
    echo "Du har ikke adgang til denne mappe";
    exit;
}
?>

cookien sættes således:

setcookie("auth", "1", 0, "/bruger", "mitdomæne.dk", 0);

Husk lige på at dine users har fri adgang til at ændre teksten i en cookie, og at en hacker derfor potentielt ville kunne modifiserer en cookie til at se ud som om han er logget ind.

Cookies er gode til at lave auto-login. Men man bør kun gemme username op password i dem - man slipper ikke for at tjekke disse på serveren.

Hvordan sikrer jeg så mapperne? Skal heg bruge .htaccess?

Hvad nu hvis cookien ser således ud:

setcookie("auth", "brugernavn:adgangskode", 0, "/bruger", "mitdomæne.dk", 0);

Så skal der virkelig et klogt hoved til at gætte brugernavn og adgangskoden...

Du skal da bare bruge SESSION i stedet for COOKIE.

I øvrigt er .htaccess en anden måde at håndtere problemet på. Der har du så bare problemet at du ikke kan styre det via en database.

16/09-2007 14:42:35> Næ, ikke specielt. Hvis du alligevel kun tjekker på værdien af auth for at finde ud af om folk er lokket på så er det nok at ændre denne værdi og ignorere username og password.

Denne type hacker-angreb kaldes for "cookie poisoning" (småkage forgiftning):

http://www.google.dk/search?hl=da&q=cookie+poisoning&btnG=Google-s%C3%B8gning&meta=

lokket => logget

Ok...

Vil dette scenario fungere?

1. Der laves en session_register("adgang")

2. I login hentes mappenavn fra databasen ud fra brugernavn/password. $adgang = "/brugermappe"

3. I hver mappe checkes der i index filen om $adgang == den mappe man nu er i, hvis ja kan man fortsætte og hvis nej bliver man smidt tilbage til login

Ad 1 - Jeg ville nok bruge session_start() og $_SESSION i stedet for session_register().

Ad 2 - Ja, gem endeligt alle de relevante oplysninger for et login på samme sted. F.eks. i din database.

Ad 3 - Kan ikke lige helt gennemskue hvad du mener, men det er sikkert meget fornuftigt det du har i tankerne. Gem også mappenavnet i din session.

I nr. 3 mener jeg:

I hver index.php i undermapperne kører jeg en (i simplificeret udgave):

if($_SESSION["mappe"] == "/bruger1") {
echo "Du er godkendt";
}else{
echo "Du er ikke godkendt";
}

Nu har jeg lavet noget der ser ud til at fungere:

Login:

<form method="post" action="login_check.php">
<p><strong>Brugernavn:</strong><br />
<input type="text" name="username" /></p>
<p><strong>Adgangskode:</strong><br />
<input type="password" name="password" /></p>
<p><input type="submit" name="submit" value="Login" /></p>
</form>

login_check.php:

<?php
// check formularens felter for indhold
if ((!$_POST[username]) || (!$_POST[password])) {
    header("Location: login.php");
    exit;
}

// skab forbindelse til server, og vælg database
$conn=mysql_connect ("localhost", "n344951_admin", "...") or die ('I cannot connect to the database because: ' . mysql_error());
mysql_select_db ("n344951_auth");

// opbyg og udsted forespørgsel
$sql = "SELECT TilladtMappe FROM auth_users WHERE
    Brugernavn = '$_POST[username]' AND Adgangskode =
    password('$_POST[password]')";
$result = mysql_query($sql,$conn) or die(mysql_error());

// hent antal poster fra forespørgslen; bør være lig 1
if (mysql_num_rows($result) == 1) {

    // hvis autoriseret, hent indhold af TilladtMappe
    $mappe = mysql_result($result, 0, 'TilladtMappe');
   
   
    session_start();
    $_SESSION['mappe'] = $mappe;
       
} else {

    // tilbage til login-forumlar, hvis ikke autoriseret
    header("Location: login.php");
    exit;
}

header("Location: $mappe");
exit;

?>

Og index.php i mappen ser sådan ud:

<?php
session_start();

if($_SESSION['mappe'] == "/dennemappe") {
    echo "Du er godkendt";
}else{
    echo "Du er ikke godkendt";
}
?>

Det ser ud til at fungere fint . . . er det også godt nok sikkerhedsmæssigt??

Ret denne linje:

sql = "SELECT TilladtMappe FROM auth_users WHERE
    Brugernavn = '$_POST[username]' AND Adgangskode =
    password('$_POST[password]')";

til:

$username = mysql_real_escape_string($_POST["username"]);
$password = mysql_real_escape_string($_POST["password"]);
sql = "SELECT TilladtMappe FROM auth_users WHERE Brugernavn = '$username' AND Adgangskode = password('$password')";

Hov der smuttede et $-tegn i starten.

Hvad er forskellen?

mysql_real_escape_string() beskytter i mod den type hacker-angreb som kaldes for SQL-injection.

Du kan selv afprøve hvad der sker med din originale kode hvis du skriver et '-tegn i dit username-felt...

ok

tusind tak for hjælpen! giv et svar så du kan få point!

Svar :^)