Loginsystem

AmShaegar · Beitrag von **AmShaegar** » 31.07.2005 20:16

Hallo Community,
Ich habe mich an einem Login für eine Allyinterne Spielerkartei versucht. Allerdings habe ich ein Problem: Wenn man sich eingeloggt hat und danach zurück auf die Loginseite geht kann man einen beliebigen Benutzernamen eingeben, selbiges mit dem Passwort, und man kann sich trotzdem einloggen, sofern man den Browser nicht geschlossen hatte, da ich mit Sessions arbeite... wie kann ich das verhindern?

Code: Alles auswählen

<?php
session_start();

if(!isset($_SESSION['pw']))
  {
  $pw = $_POST['passwd'];
  $pw = md5($pw);
  $user = $_POST['login'];
  if($pw == "md5-passwd" and $user == "user")
    {
    $_SESSION['pw'] = $pw;
    $_SESSION['user'] = $user;
    }
  }
  
if(isset($_SESSION['pw']) and isset($_SESSION['user']))
  {
  $log = "1";
  }

if($log != "1")
  {
  echo '<meta http-equiv="refresh" content="0; URL=index.php?login=failed">';
  }
else
  {
  ...

Die Sache mit dem $log dient nur zu meiner eigenen Übersicht.

Scoutman · Beitrag von **Scoutman** » 31.07.2005 20:35

wenn ich mir das so anschaue vermute ich eher wenn du nochmal irgendwelche daten abschickst, das script das ignoriert und du einfach noch immer mit den alten daten eingeloggt bist.

AmShaegar · Beitrag von **AmShaegar** » 31.07.2005 20:46

eben, das ist das Problem...
Ich habe es auch schon anders versucht, aber ich schaff's nicht. Ich weiß nicht, wie ich es anders umsetzen soll. Dafür habe ich schon ewig gebraucht.

Scoutman · Beitrag von **Scoutman** » 31.07.2005 20:49

du könntest wenn du eingeloggt bist die eingabefelder ausblenden lassen und nur noch einen logout button anzeigen lassen.

AmShaegar · Beitrag von **AmShaegar** » 31.07.2005 20:54

Klasse Idee.
Schonmal ne Möglichkeit...
Hat jemand vielleicht noch nen anderen Einfall? Einen, bei dem ich was am Script andern muss, damit man sich nicht mit falschen Eingaben einloggen kann?

Scoutman · Beitrag von **Scoutman** » 31.07.2005 21:07

noch a idee:

Code: Alles auswählen

<?php
session_start();

if(!isset($_SESSION['pw']))
  {
  $pw = $_POST['passwd'];
  $pw = md5($pw);
  $user = $_POST['login'];
  if($pw == "md5-passwd" and $user == "user")
    {
    $_SESSION['pw'] = $pw;
    $_SESSION['user'] = $user;
    echo 'Erfolgreich eingeloggt.';
    }
  }
else{
  echo 'Du bist bereits eingeloggt.';   
}
.......

viel was anderes fällt mir dazu auch nicht ein, weil wirklich einloggen tut man sich ja nicht mehr.

AmShaegar · Beitrag von **AmShaegar** » 31.07.2005 21:15

Sorry ich glaub da ist was nicht ganz angekommen: Das ist der Anfang der Seite, auf die man kommt, wenn man sich eingeloggt hat. Man darf sich aber nicht einloggen, auf 'ne andere Seite gehen und nach fünf Minuten wieder einloggen, weil es beim zweiten Mal, wie schon gesagt, mit falschen Eingaben möglich ist. Und eben, das Einloggen mit den falschen Angaben muss ich verhindern...

Was macht es für einen Sinn dem Benutzer zu sagen, dass er bereits eingeloggt ist? Er soll ja mit falschen Eingaben nicht rein kommen in den geschüzten Bereich.