phpBB.de

Hallo,

ein Freund hat ein kleines Programm geschrieben, das nur Mitglieder meines Forums benutzen sollen. Wie kann man per Script abfragen ob jemand Mitglied meines Forums ist und seinen Account aktiviert hat?
Suche war ohne Erfolg.

Hi,

wenn du das kleine Programm auf der selben Domain verwenden willst wie das Forum, dann binde das Programm in das Forum ein. Oder lass es deinen Freund machen. Dazu findest du/er hier ein 'Vorlage für in phpBB eingebundene Seiten'.

Dort steht auch beschrieben, wie überprüft werden kann, ob der Besucher eingeloggt ist oder nicht.

Grüße
MagMo

Das ist relativ einfach.

Ihr erstellt ein PHP Script das die gesamten User mit dazugehörigem MD5 Passwort abfragt und am Webbrowser ausgibt.

Das Format sollte dann so etwas lauten:

Albatros:1c2671c12102...
Manni:3918bcdb12...

Dies lässt sich ohne weitere Probleme mit einem Programm parsen. Mit einer Passwortabfrage am Anfang des Programmes passt das.

Allerdings entsteht dadruch eine neue Sicherheitslücke, da jeder nun Einsicht bekommt über den Usernamen mit dem dazugehörigen Passwort. Daher sollte das ganze etwas verändert werden.

Du sendest von deinem Programm 2 Post Variablen. Einmal mit dem eingegeben Usernamen, einmal mit dem eingegegben Passwort. Das Script prüft dies und gibt im Erfolgsfalls eine positive Meldung raus. Diese ließt du dann wieder mittels http ab und du weißt das es den User gibt. Du solltest allerdings dazu eine Extra mysql Tabelle anlegen um zu verhindern das User die Möglichkeit des BruteForce Hackings haben. Nach 3 Fehlgeschlagenen Anmeldungen muß sich dann einer bei euch melden (vielleicht Thread im Forum aufmachen) oder ne Stunde warten, was weiß ich. Seid kreativ

Es gibt noch ne 3te Variante bei der die mysql Tabellen direkt abgefragt werden. Diese kommt aber auf keinen Fall in die Frage, da sonst jeder Programmanwender euer mysql Passwort ohne weiteres sniffen können.

Wenn ihr Intresse habt helf ich euch gerne beim Programmieren. Wenn das Programm rein Windows sein soll, kann ich mit ner geproggten DLL dienen, die lässt sich ja ohne weiteres einfach einbauen. Scrpt dazuschreiben dürfte auch kein Problem sein.

Gruß Tobi

Siehe auch:
>>>prefix_users<<<

hallo,

danke für eure antworten.Ich hab mir schon gedacht das dadurch Sicherheitslücken entstehen können. Bin php-Anfänger und bekomme das so nicht hin. Das Proggi ist für windows geschrieben. Wir wollen es kostenlos anbieten aber nur an registrierte User. Mein Problem betrifft nur die Abfrage ob der User Registriert und Aktiviert ist. Ins Proggi einbinden bekommt der Autor hin. Gibt es da eine sichere Methode oder ein Beispiel?

Teedoubleyou hat geschrieben:hallo,

danke für eure antworten.Ich hab mir schon gedacht das dadurch Sicherheitslücken entstehen können. Bin php-Anfänger und bekomme das so nicht hin. Das Proggi ist für windows geschrieben. Wir wollen es kostenlos anbieten aber nur an registrierte User. Mein Problem betrifft nur die Abfrage ob der User Registriert und Aktiviert ist. Ins Proggi einbinden bekommt der Autor hin. Gibt es da eine sichere Methode oder ein Beispiel?

Hab ich doch geschrieben wie du es sicher griegst:

ttobsen hat geschrieben:Du sendest von deinem Programm 2 Post Variablen. Einmal mit dem eingegeben Usernamen, einmal mit dem eingegegben Passwort. Das Script prüft dies und gibt im Erfolgsfalls eine positive Meldung raus. Diese ließt du dann wieder mittels http ab und du weißt das es den User gibt. Du solltest allerdings dazu eine Extra mysql Tabelle anlegen um zu verhindern das User die Möglichkeit des BruteForce Hackings haben. Nach 3 Fehlgeschlagenen Anmeldungen muß sich dann einer bei euch melden (vielleicht Thread im Forum aufmachen) oder ne Stunde warten, was weiß ich. Seid kreativ

Gruß Tobi

Das stimmt aber ich weiß absolut nicht wie ich das bewerkstelligen soll.

Hi,

ttobsen hat geschrieben:Nach 3 Fehlgeschlagenen Anmeldungen muß sich dann einer bei euch melden (vielleicht Thread im Forum aufmachen) oder ne Stunde warten, was weiß ich. Seid kreativ

Teedoubleyou hat geschrieben:ich weiß absolut nicht wie ich das bewerkstelligen soll.

Soetwas gibt es als Mod fürs Forum:
Protect useraccount http://www.phpbb2.de/dload.php?action=file&file_id=485

Wenn du den Mod ggf. etwas modifizierts und die Abfrage über diesen modifizierten Mod laufen lässt, dann hättest du eine Lösung frei nach ttobsen.

Grüße
MagMo