Benutzer rechte

puchtuner · 17.09.2006, 09:27

Hallo habe mir ein login script gebastelt und wollte benutzer rechte machen aber es funktioniert nich weiter angaben siehe unten

PHP-Code:

   
######LOGIN

    function user_login() {

 
    echo "<div id=\"head\">Adminstration - Login</div>";

 
    if ($_SESSION['loggedIn']){

    echo "Sie sind schon angemeldet";

      }

    else {

    echo "<form action=\"main.php?show=user_login_chk\" method=\"post\">

Benutzername
 
<input type=\"text\" name=\"username\" size=\"10\">


 
Passwort
 
<input type=\"password\" name=\"password\" size=\"10\">


 
<INPUT class=button type=submit value=Anmelden name=submit>

</form>";

    }

 
    }

    ### User - Login überprüfgen

    function user_login_chk() {

    $this->connect();

 
    // einige Prozesse zur Sicherheit

    $user = $_REQUEST['username'];

    $pass = $_REQUEST['password'];

    $user=strip_tags($user);

    $pass=strip_tags($pass);

    $user=str_replace(" ","",$user);

    $pass=str_replace(" ","",$pass);

    $user=str_replace("%20","",$user);

    $pass=str_replace("%20","",$pass);

    $user=addslashes($user);

    $pass=addslashes($pass);

    $pass=md5($pass);

 
    // durchsucht datenbank

    $request = "SELECT * FROM ofg_users WHERE password='".$pass."' AND username='".$user."'";

    $results = mysql_query($request);

 
    // wenn resultat größer als 0 ist, war der login erfolgreich

    if(mysql_num_rows($results))

    {

    // gibt user id aus

    $getid = "SELECT * FROM ofg_users WHERE username='".$user."' LIMIT 1";

    $getidexec = mysql_query($getid);

 
    while($r=mysql_fetch_array($getidexec)){

    $userid = $r[userid];

    $username = $r[username];

    $rechte = $r[rechte];

    }

 
    // session

    $_SESSION['loggedIn'] = true;

    $_SESSION['username'] = $username;

    $_SESSION['id'] = $userid;

    $_SESSION["rechte"] = $row["rechte"];

        

    echo "<div id=\"head\">Login</div>

Sie, $username sind nun eingeloggt. <a href=\"index2.html\" target=\"_top\">Zur&uuml;ck</a>";

 
    }

    else // nur wenn passwort und benutzername nicht überein stimmen

    {

    die("<div id=\"head\">Login</div>

Benutzername oder Passwort falsch.");

    }

 
 
    }

?>

und hier habe ich den teil vom menü der nicht funktioniert!!

PHP-Code:

  
<?php     if ($_SESSION['loggedIn'] && $_SESSION['rechte'] = "adminr") { ?>

     [url="main.php?show=admin&to=addeinsatz"]Add Einsatz[/url]

<?php } elseif ( $_SESSION['loggedIn'] && $_SESSION['rechte'] = "user" ) { ?>

        [url="main.php?show=internnews"]News-Intern[/url]<    

    <?php } else { ?>

<a href="main.php?show=user_login" target="Main" class="Stil2">Intern    

    <?php } ?></td>

das einzige was nich funkt ist das ich wenn ich mich an melde als normaler user das admin menü bekomme aber wenn ich drauf klicke auf den link dan funkt das nich wie es auch sollte
wie muss ich das machen beim menü alles andere habe ich bis jetzt geschafft!!!

gruß puchtuner

Wöllchen · 17.09.2006, 20:47

<?php if ($_SESSION['loggedIn'] && $_SESSION['rechte'] = "adminr") {
Add Einsatz
<?php } elseif ( $_SESSION['loggedIn'] && $_SESSION['rechte'] = "user" ) {
News-Intern<
<?php } else {
<a href="main.php?show=user_login" target="Main" class="Stil2">Intern
<?php } </td>

hmm ich würd mal sagn wenn du etwas vergleichen willst machste 2 gleichzeichen: ==
und ich weiß nich ob das beabsichtigt war: "adminr" also das r am ende
probiers also mal damit:

<?php if ($_SESSION['loggedIn'] && $_SESSION['rechte'] == "admin") {
Add Einsatz
<?php } elseif ( $_SESSION['loggedIn'] && $_SESSION['rechte'] == "user" ) {
News-Intern<
<?php } else {
<a href="main.php?show=user_login" target="Main" class="Stil2">Intern
<?php } </td>

puchtuner · 18.09.2006, 15:58

Ja, Danke!

Es funktionier nur jetzt hab ich noch ein problem, ich habe verschidene contents die ich auch von verschidenen User ausführen lassen will

wie kann ich hier user hinzufügen?

PHP-Code:

  if ($_SESSION['loggedIn'] && $_SESSION['rechte'] == "adminr", "admine")

so funkt das nicht!

könnt ihr mir da vielleich auch noch helfen

RudiS · 18.09.2006, 16:23

Das kannst du z. B. so machen:

PHP-Code:

  <?php

$allowedUsers = array('adminr', 'admine');

if (isset($_SESSION['loggedIn']) && in_array($_SESSION['rechte'], $allowedUsers))

{

...

?>

So kannst du schnell neue Admins hinzufügen, indem du das Array erweiterst.
Du solltest dir außerdem angewöhnen isset() zu verwenden, wenn du prüfen willst, ob eine Variable existiert (z. B. bei der Prüfung nach $_SESSION['loggedIn']).
Auch solltest du die Zeilen 25-37 verbessern, indem du die Funktion quote_smart() verwendest um die Werte in den Query einzutragen. Du findest sie im Manual unter mysql_real_escape_string() unter Beispiel 3.
Dann kannst du die Zeilen 25-37 weglassen und stattdessen die Queries so schreiben:

PHP-Code:

  <?php

$query = 'SELECT ... WHERE user = ' . quote_smart($_REQUEST['user']) . ' ...';

?>

So werden auch mySQL-Injections verhindert.
mfg RudiS

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] ordner rechte setzen sich automatisch zurück	wiegia086	PHP-Fortgeschrittene	1	05.04.2008 13:55
Neue Datenbank und Benutzer anlegen	Quereinsteiger	Datenbanken	6	02.04.2008 08:30
rechte level script	TeazY	PHP Tipps 2008	7	28.03.2008 21:20
Fotos hochladen / Rechte		PHP Tipps 2006	1	18.05.2006 15:05
Selbstgebastelter Converter kopiert nur 20 Benutzer von 82	imported_Lumio	Datenbanken	2	28.01.2006 04:05
[Erledigt] Benutzer in phpbb löschen - per sql-Befehl		Datenbanken	2	23.12.2005 09:52
Frei editierbare Rechte	Mano	PHP Tipps 2005-2	9	20.08.2005 17:34
Automatisches Rechte setzen über Script	El Barto	Beitragsarchiv	2	29.07.2005 11:22
Suspekter Fehler: Keine Rechte auf der Datenbank		Datenbanken	5	20.04.2005 06:31
Rechte überprüfen	faux	Datenbanken	2	23.03.2005 07:42
mehrere Benutzer arbeiten an einem Datensatz	ajo_silent	Datenbanken	6	20.11.2004 13:52
MySQL-Datenbank aufteilen auf verschiedenen Benutzer...		Datenbanken	3	09.11.2004 08:23
[Erledigt] NetwerkDomäne und Benutzer auslesen		PHP-Fortgeschrittene	10	18.10.2004 13:35
Mit PHP erzeugte Dateien besitzen die falschen Rechte		PHP Tipps 2004	3	14.09.2004 12:54
Gibt es &quot;htacces&quot; ohne Abfrage von Benutzer und Ke		Server, Hosting und Workstations	2	19.06.2004 18:17

17.09.2006, 09:27
puchtuner Neuer Benutzer Registriert seit: 16.10.2005 Beiträge: 4	Benutzer rechte Hallo habe mir ein login script gebastelt und wollte benutzer rechte machen aber es funktioniert nich weiter angaben siehe unten PHP-Code: ######LOGIN function user_login() { echo "<div id=\"head\">Adminstration - Login</div>"; if ($_SESSION['loggedIn']){ echo "Sie sind schon angemeldet"; } else { echo "<form action=\"main.php?show=user_login_chk\" method=\"post\"> Benutzername <input type=\"text\" name=\"username\" size=\"10\"> Passwort <input type=\"password\" name=\"password\" size=\"10\"> <INPUT class=button type=submit value=Anmelden name=submit> </form>"; } } ### User - Login überprüfgen function user_login_chk() { $this->connect(); // einige Prozesse zur Sicherheit $user = $_REQUEST['username']; $pass = $_REQUEST['password']; $user=strip_tags($user); $pass=strip_tags($pass); $user=str_replace(" ","",$user); $pass=str_replace(" ","",$pass); $user=str_replace("%20","",$user); $pass=str_replace("%20","",$pass); $user=addslashes($user); $pass=addslashes($pass); $pass=md5($pass); // durchsucht datenbank $request = "SELECT * FROM ofg_users WHERE password='".$pass."' AND username='".$user."'"; $results = mysql_query($request); // wenn resultat größer als 0 ist, war der login erfolgreich if(mysql_num_rows($results)) { // gibt user id aus $getid = "SELECT * FROM ofg_users WHERE username='".$user."' LIMIT 1"; $getidexec = mysql_query($getid); while($r=mysql_fetch_array($getidexec)){ $userid = $r[userid]; $username = $r[username]; $rechte = $r[rechte]; } // session $_SESSION['loggedIn'] = true; $_SESSION['username'] = $username; $_SESSION['id'] = $userid; $_SESSION["rechte"] = $row["rechte"]; echo "<div id=\"head\">Login</div> Sie, $username sind nun eingeloggt. <a href=\"index2.html\" target=\"_top\">Zurück</a>"; } else // nur wenn passwort und benutzername nicht überein stimmen { die("<div id=\"head\">Login</div> Benutzername oder Passwort falsch."); } } ?> und hier habe ich den teil vom menü der nicht funktioniert!! PHP-Code: `<?php if ($_SESSION['loggedIn'] && $_SESSION['rechte'] = "adminr") { ?> [url="main.php?show=admin&to=addeinsatz"]Add Einsatz[/url] <?php } elseif ( $_SESSION['loggedIn'] && $_SESSION['rechte'] = "user" ) { ?> [url="main.php?show=internnews"]News-Intern[/url]< <?php } else { ?> <a href="main.php?show=user_login" target="Main" class="Stil2">Intern <?php } ?></td>` das einzige was nich funkt ist das ich wenn ich mich an melde als normaler user das admin menü bekomme aber wenn ich drauf klicke auf den link dan funkt das nich wie es auch sollte wie muss ich das machen beim menü alles andere habe ich bis jetzt geschafft!!! gruß puchtuner


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

17.09.2006, 20:47
Wöllchen Neuer Benutzer Registriert seit: 19.01.2006 Beiträge: 23	<?php if ($_SESSION['loggedIn'] && $_SESSION['rechte'] = "adminr") { Add Einsatz <?php } elseif ( $_SESSION['loggedIn'] && $_SESSION['rechte'] = "user" ) { News-Intern< <?php } else { <a href="main.php?show=user_login" target="Main" class="Stil2">Intern <?php } </td> hmm ich würd mal sagn wenn du etwas vergleichen willst machste 2 gleichzeichen: == und ich weiß nich ob das beabsichtigt war: "adminr" also das r am ende probiers also mal damit: <?php if ($_SESSION['loggedIn'] && $_SESSION['rechte'] == "admin") { Add Einsatz <?php } elseif ( $_SESSION['loggedIn'] && $_SESSION['rechte'] == "user" ) { News-Intern< <?php } else { <a href="main.php?show=user_login" target="Main" class="Stil2">Intern <?php } </td> __________________ Umfangreiche Hardware Datenbank Lesenswerte Artikel und Tutorials

18.09.2006, 15:58
puchtuner Neuer Benutzer Registriert seit: 16.10.2005 Beiträge: 4	Ja, Danke! Es funktionier nur jetzt hab ich noch ein problem, ich habe verschidene contents die ich auch von verschidenen User ausführen lassen will wie kann ich hier user hinzufügen? PHP-Code: `if ($_SESSION['loggedIn'] && $_SESSION['rechte'] == "adminr", "admine")` so funkt das nicht! könnt ihr mir da vielleich auch noch helfen

18.09.2006, 16:23
RudiS Erfahrener Benutzer Registriert seit: 08.06.2004 Beiträge: 865	Das kannst du z. B. so machen: PHP-Code: `<?php $allowedUsers = array('adminr', 'admine'); if (isset($_SESSION['loggedIn']) && in_array($_SESSION['rechte'], $allowedUsers)) { ... ?>` So kannst du schnell neue Admins hinzufügen, indem du das Array erweiterst. Du solltest dir außerdem angewöhnen isset() zu verwenden, wenn du prüfen willst, ob eine Variable existiert (z. B. bei der Prüfung nach $_SESSION['loggedIn']). Auch solltest du die Zeilen 25-37 verbessern, indem du die Funktion quote_smart() verwendest um die Werte in den Query einzutragen. Du findest sie im Manual unter mysql_real_escape_string() unter Beispiel 3. Dann kannst du die Zeilen 25-37 weglassen und stattdessen die Queries so schreiben: PHP-Code: `<?php $query = 'SELECT ... WHERE user = ' . quote_smart($_REQUEST['user']) . ' ...'; ?>` So werden auch mySQL-Injections verhindert. mfg RudiS __________________ Kunst kommt von Können und nicht von wollen, denn sonst würde es ja Wunst heißen.