Um das folgende Beispiel so flexibel wie möglich zu gestalten, sollten Sie dafür sorgen, dass die Benutzeridentifizierung in eine externe Datei ausgelagert wird. Ich habe hierfür die Datei check.php angelegt. In dieser befindet sich folgende Funktion:
Login-Formular (Eingabemaske) und Privatbereich
Wie Sie anhand des ersten Arguments $pwddatei der Funktion erkennen können, verwende ich in diesem Fall die mithilfe der setze_passwort()-Funktion erzeugte Passwortdatei, um die Authentifizierung durchzuführen. Es steht Ihnen natürlich frei, der Passwortdatei einen beliebigen Namen zuzuweisen. Achten Sie lediglich darauf, dass sich jeder Benutzereintrag aus einem Benutzernamen und einem verschlüsselten Passwort zusammensetzt.
Die Funktion selbst sorgt dafür, dass die benötigte Session initialisiert wird, und prüft, ob ein Anwender angemeldet ist oder nicht. Gegebenenfalls wird der Anwender identifiziert bzw. abgemeldet.
Ist ein Anwender angemeldet oder war seine Anmeldung erfolgreich, gibt die Funktion true zurück, andernfalls false. Mithilfe der Rückgabewerte können Sie somit entscheiden, was bei einem erfolgreichen bzw. nicht erfolgreichen Login geschehen soll. Die Funktion ist zusätzlich in der Lage zu erkennen, wie oft versucht wurde, sich einzuloggen. Dem Anwender stehen drei Versuche zur Verfügung. Nach drei Versuchen, welche in der Session-Variablen $_SESSION["versuch"] gespeichert sind, wird die Funktion grundsätzlich den Rückgabewert false liefern.
Dies gilt auch in dem Fall, wenn weder die Sessionvariable $_SESSION["auth"] noch die Postvariable $_POST["username"] existieren. In diesem Fall wird davon ausgegangen, dass der Anwender noch keinen Loginversuch unternommen hat.
Sobald der Anwender das Login-Formular abgeschickt hat, beginnt der Authentifizierungsprozess. Die Sessionvariable $_SESSION["versuch"] wird in der Session registriert bzw. um den Wert 1 erhöht. Anschließend wird überprüft, ob die Session durch ein Cookie übergeben wurde. Sollte dieses nicht existieren, wird die Funktion abgebrochen und false zurückgegeben. Der Benutzernamen und das Passwort werden in den Variablen $nutzer und $pwd gespeichert.
Dabei werden mithilfe der Funktion trim() eventuell vorhandene Leerzeichen vor und nach dem Benutzernamen und Passwort entfernt.
Eine weitere Bedingung ist, dass der Benutzername nicht kürzer als drei Zeichen sein darf. Damit ein identischer Eintrag in der Passwortdatei gefunden werden kann, wird ein String gebildet, welcher genauso aufgebaut ist wie eine Zeile in der Passwortdatei. Anschließend wird der Inhalt dieser Datei mithilfe der Funktion file() in das Array $pwd_liste eingelesen. Dieses Array wird mithilfe der Funktion array_search() durchsucht.
Ist der Rückgabewert der Suche ungleich false, so bedeutet dies: Der Anwender ist in der Passwortdatei enthalten und hat sich mit dem richtigen Passwort angemeldet. Die Sessionvariable $_SESSION["auth"] wird angelegt und in ihr der Benutzername gespeichert. Die Funktion liefert dann noch den Wert true zurück. Sollte der Anwender bereits angemeldet sein, wird geprüft, ob in der URL der Parameter logout enthalten ist. Ist dies der Fall, wird die Session beendet und die Funktion gibt false zurück, andernfalls true.
Session-Variante
Ich stelle noch eine weitere Variante vor, sodass Sie selbst entscheiden können, welche von beiden Lösungen Ihnen zusagt. Bei der folgenden Variante handelt es sich um eine Umsetzung, die ohne eine externe Passwortdatei auskommt.
Sie basiert auf insgesamt drei Dateien:
- login.php - Enthält die Eingabemaske samt Authentifizierungsfunktion.
- gruss.php - Auf diese Seite gelangt der Anwender nach dem Login.
- logout.php - Hier wird der Anwender ausgeloggt und verabschiedet.
Beispiel - login.php:
<?
session_start();
function check_auth($nutzer,$pwd) {
$nutzer_liste = array ("matthias" => "mad",
"caroline" => "car");
if (isset($nutzer_liste[$nutzer]) && ($nutzer_liste[$nutzer] == $pwd)) {
return true;
} else {
return false;
}
}
$geheim_wort = 'geheim';
unset($_POST["$username"]);
if ($_SESSION['login']) {
list($s_username, $session_hash) = explode(',',$_SESSION['login']);
if (md5($s_username.$geheim_wort) == $session_hash) {
$_POST["$username"] = $s_username;
} else {
echo "Sie haben an ihrer Session rumgesaut!";
}
}
if ($_POST["$username"]) {
header('Location: gruss.php');
} else {
if (check_auth($_POST['username'], $_POST['passwort'])) {
session_start();
$_SESSION['login'] = $_POST['username'].','.md5($_POST['username'].$geheim_wort);
echo "Sie sind eingeloggt!";
echo "<p><a href='gruss.php'>Weiter</a>";
} else {
echo <<<Login
<form method="post" action="login.php">
Benutzername:<br>
Benutzer:
<input type="password" name="username"><br>
Passwort:
<input type="text" name="passwort"><br>
<input type="submit" value="Login">
</form>
Login;
}
}
?>
Beispiel - gruss.php
<?
session_start();
$geheim_wort = 'geheim';
unset($_POST["$username"]);
if ($_SESSION['login']) {
list($s_username, $session_hash) = explode(',',$_SESSION['login']);
if (md5($s_username.$geheim_wort) == $session_hash) {
$_POST["$username"] = $s_username;
} else {
echo "Sie besitzen keine gültige Session!";
}
}
if ($_POST["$username"]) {
echo "Guten Tag " . $_POST["$username"];
echo "<a href='logout.php'>Ausloggen</a>";
} else {
echo "Guten Tag, anonymer Besucher!";
}
?>
Beispiel - logout.php
<?
session_start();
$geheim_wort = 'geheim';
unset($_POST["$username"]);
if ($_SESSION['login']) {
list($s_username, $session_hash) = explode(',',$_SESSION['login']);
if (md5($s_username.$geheim_wort) == $session_hash) {
$_POST["$username"] = $s_username;
} else {
echo "Sie besitzen keine gültige Session!";
}
}
if ($_POST["$username"]) {
unset($_SESSION['login'],$login);
echo "Bis bald ". $_POST["$username"];
echo "<br><a href='login.php'>Login</a>";
} else {
echo "Fehler beim Ausloggen!";
}
?>
Die passende Ergänzung zu diesem Artikel:
 | PHP5 / MySQL5 Produktart: Buch
ISBN 978-3-645-60010-1
Versandkostenfrei* direkt beim Verlag bestellen
30,00 € 
|
