Seite 1 von 1
Verfasst: 14.07.2009, 11:13
von AranankA
Ich habe auf einer dynamischen Webseite einen geschlossenen Mitgliederbereich. Der Zugang erfolgt per Name & PW. Die Nutzerdaten liegen in einer DB "user_dat_geschl". Die dyn. eingebundenen Inhalte liegen in einer 2. DB "index_geschl". Die Webseite des geschl. Bereiches wird, an Hand der Nutzerdaten, für genau diesen Nutzer personalisiert. Alles klappt soweit vorzüglich.
Bis auf eine Kleinigkeit: Lege ich eine Seite innerhalb des geschlossenen Bereiches des Nutzers, als Startseite in einem Browser fest, kenne also die genaue Sprung URL, erfolgt keine Abfrage eines PW bzw. Namens.
Eine Verbindung zw. PW gestützten Zugang + .htaccess funktioniert nicht: Die eine Funktion verhindert die Anwendung der Anderen.
Wie umgeht man dieses Problem?
Verfasst: 14.07.2009, 15:25
von Lighty
Hallo AranankA !
Kann mich da gerade nur kurz rein denken, aber in der htaccess müssten evtl. Platzhalter rein !?
Damit der Pfad nicht "absolut ist )
Verfasst: 14.07.2009, 17:39
von Ricko
Nabend, AranankA
Ich kenne den Umfang der Seite nicht, jedoch gibt es meiner Meinung nach 2 Möglichkeiten:
Die einzelnen Seiten überprüfen beim Aufruf ob eine gültige Session ID bzw. ein Cookie mitgesendet wurde. (Ganz klar, dazu müssen die Seiten alle auf .php umgestellt werden)
Oder:
Die Seiten liegen in einem geschützten Ordner und werden bei richtigem Usernamen und Passwort dynamisch 'included'
Verfasst: 15.07.2009, 11:25
von AranankA
...dazu müssen die Seiten alle auf .php umgestellt werden
Die sind PHP, sonst ginge es wohl kaum, dass die Inhalte dynamisch aus einer DB eingebunden werden.
Die Seiten liegen in einem geschützten Ordner und werden bei richtigem Usernamen und Passwort dynamisch 'included'
Genau das tun sie ja. Also die Inhalte, nicht die Seiten selber.
Das Problem ist eigentlich nur, das der entsprechende Nutzer die personalisierte Seite als Startseite festlegen kann und auch bei einem PC Neustart nicht mehr nach Name & PW gefragt wird, um diese Seite zu erreichen.
Zwar ist das nicht wirklich schlimm, da der Zugang letztendlich auf Parzellennummer (es ist eine Seite für einen größeren Gartenverein) + Pächternamen + Passwort erfolgt und wen, außer dem, der sich da einloggt, interessiert das schon? Aber ich empfinde es persönlich als unschön, dass es so ist, wie es ist...
Verfasst: 15.07.2009, 11:39
von Ricko
Na, dann steuere das ganze doch über Sessions oder Cookies.
Du stellst ein, eine Session bleibt x Minuten aktiv, dann wird sie beendet (z.B. wenn ein User nach X Minuten nichts mehr aufgerufen hat)
Damit verbundenen Befugnisse (Anzeige seiner Parzellendaten etc) verfallen, bis er sich wieder einloggt
http://tut.php-quake.net/de/sessions.html
Verfasst: 15.07.2009, 12:33
von Lighty
... ohne Session geht das eh nicht !
( selber aber noch nie gemacht habe )
Session starten:
session_start();
Session beenden:
session_destroy();
Session zerstören/zwangsbeenden:
unset($_SESSION);
Wichtig:
Die Session muss gestartet werden bevor die erste Textausgabe an den Browser erfolgt ist !
Daher am Besten immer als ersten Befehl einfügen !