[php] AW: [php] Wie kann ich Benutzer verfolgen / identifizieren

[auto]

Hallo,

ich habe so etwas in der Testphase laufen und bin eigentlich ziemlich
zufrieden damit:

1) Angemeldet oder nicht funktionieren die Pages, bis auf die Dinge die nur
angemeldete User sollen.

2) Alle Besucher erhalten eine Session-ID, die ihnen bis zum Verlassen
erhalten bleibt.

3) Es werden KEINE Cookies verwandt.

4) Die Anmeldung erfolgt einmalig, die User werden an der SessionID erkannt,
da kann man fast alles dranhängen (Warenkorb).

5) Die Registrierung erfolgt durch Übersendung eines Passwords automatisch
(oder wie auch immer).

6) Es sind nur zwei Tables notwendig (wobei ich noch nicht festgelegt habe,
wann Balast abgeworfen werden sollte).

7) Die Zugriffsrechte sind beliebig einstellbar (z.B. von 0-9 o.ä.).

8) Ein Timeout erfolgt, sobald der User nicht mehr den Menue-Frame bedient,
nach einer einstellbaren Zeit. Die Session-ID wird dann ungültig.

- Großes Manko ist noch der Timeout, der über JavaScript "gehandelt" wird.

Anzusehen, siehe unten.

Tschau

Walter



---------------------------------------------
wjk-Software, Inc. - Representation Europe
Mozartstr 12 - D-64347 Griesheim
Phone: +49-(0)171-16 17 453
http://wjk-software.de/
------------------------------------------
U.S.A.: Phone/Fax: +1-(305) 418-7391
eMail: Mail_(at)_wjk-software.com



> -----Original Message-----
> From: php-admin_(at)_php-center.de
> [mailto:php-admin_(at)_php-center.de]On Behalf
> Of Gerald Grote
> Sent: Monday, June 26, 2000 10:41 PM
> To: php_(at)_php-center.de
> Subject: [php] AW: [php] Wie kann ich Benutzer verfolgen /
> identifizieren
>
>
> Hallo,
>
> >    Mein 1. Gedankengang war, den Benutzer einzeln auch an MYSQL
> > anzumelden,
> > nur ich will nicht Benutzername und Passwort
> >    im Header oder als Cookie mitschleifen
>
> Habe ich das richtig verstanden: Du willst für deine
> Shop-Kunden eigene
> MySQL-Accounts einrichten ? Das wäre eine schlechte Idee,
> denn du wirst kaum
> Provider finden, bei dem die einen entsprechenden Zugang auf die
> MySQL-Administration hast. Ich würde nur EINEN Account benutzen.
>
> >    2.Gedankengang war, das ich mich allgemein (für alle
> gleich ) an Mysql
> > anmelde und nur eine künstliche USER-ID mitschleife im Header
> >    aber wenn man dann als Quereinsteiger kommt, würde man die selben
> > bestelldaten sehen .....
>
> Das wird nicht besser gehen. Um Cookies bzw. SessionIDs
> kommst du nicht
> herum. Als Anfänger würde ich dir PHPLIB empfehlen (oder die
> Session-Funktionen von PHP4). Bei solchen
> Benutzerlogin-Geschichten baut man
> am Anfang ganz schnell fiese Sicherheitslücken ein. Da bist
> du mit bewährter
> Software auf der sichereren Seite.
>
> > Wie man sieht moechte ich ganz gerne Cookies und Parameter
> im HTML-Kopf
> > vermeiden !!!
>
> Irgendwie muss der Server wissen, ob eine Anfrage zu einer
> aktiven Session
> gehöhrt. Dafür gibt es soweit ich weiss drei Möglichkeiten:
> HTTP-Authentifikation (im Header), Cookies oder IDs in der URL. Am
> praktikabelsten sind wohl Cookies, da URLs mitsamt SessionIds
> überall gelogt
> werden (Stichwort REFERER) und die HTTP-Authentifikation
> nicht immer geht
> (z.B. wenn PHP nur als CGI vorliegt).
>
> mfg,
> Gerald Grote
>
>
> --
> ** Durchgehend geöffnet: http://www.php-center.de **
> Die PHP-Liste: mailto:php_(at)_php-center.de
> http://infosoc.uni-koeln.de/mailman/listinfo/php
>