mcgeddy

Hallo zusammen!

Zunächst mal einleitend nen paar Worte zu mir: ich kommen eher aus der Design-Ecke (HTML, CSS etc.) und bin - ich würd' fast sagen BLUTIGER - Anfänger in Sachen PHP/MySQL. Daher bitte ich schon jetzt um Verzeihung für dumme Fragen usw...

Wie gesagt: ich bin nicht wirklich fit in Sachen Programmierung, stehe aber jetzt vor dem Problem, dass ich für unsere Firma einen passwortgeschützten Bereich umsetzen soll - was mir ein schlafloses Wochenende bereitet hat. Hab viel gegoogled, viele Scripte und Codeschnipsel gefunden - und bin jetzt noch verwirrter als vorher: "session-based", "cookie-based", "md5", "Achtung vor SQL-Injections"...

-----------------------------------------------------------------------
Folgende Anforderungen existieren:

- Login-Formular (zunächst mal keine Anmeldung durch die User selbst notwendig; Username/PW vergeben wir)

- es soll insgesamt 6 verschiedene Level geben. Je nach Level bekommen die User unterschiedlich viel zu sehen. D.h. die Unterseiten im geschützten Bereich sollen für jeden Status die gleichen sein - nur soll ein User mit höherem Level z.B. mehr/andere Downloads zur Verfügung haben bzw. in diversen Request-Formularen sollen z.B. für User mit höherem Level andere Kontaktpartner in einer DropDown-Liste angezeigt werden.

- jeder User soll eine individuelle PW-Abfrage haben (also nicht nur 6 verschiedene Usernamen/PWs), damit man ihn - je nach Bedarf - hoch-/runterstufen bzw. ganz entfernen kann

- es sollen so viel wie möglich Userinfos in einer DB gespeichert werden. Zumindest mal, welcher User wann im geschlossenen Bereich war und welche Files heruntergeladen hat

- und möglichst SICHER sollte das Ganze natürlich auchnoch sein!
-----------------------------------------------------------------------

Tja, da sitz ich nun und bin mir sicher, dass meine Fähigkeiten zu 100% NICHT ausreichen, um sowas "von der grünen Wiese aus" umzusetzen.

Und ich erwarte natürlich auch nicht, dass jemand hier im Forum ums Eck kommt und meine Arbeit macht bzw. mir die eierlegende Wollmilchsau präsentiert...

Aber ich hoffe mal auf nen paar grundlegende Tipps und ne grundlegende, ehrliche Einschätzung der Situation...!?

- Ist's grundsätzlich möglich, sich in kurzer Zeit so in die Materie einzuarbeiten, dass ich die Anforderungen umsetzen kann? Oder ist da der eine oder andere Punkt dabei, der schon eher gehobeneres Level ist?

- Auf was sollte ich mich bei meiner Recherche konzentrieren? Den Ansatz über Sessions, Cookies...?

- Hat womöglich jemand ein (auch kommerziell nutzbares) lizenzfreies Stück Code an der Hand, dass zumindest nen größeren Teil der Anforderungen schon abdeckt?

- Nen Buch-Tipp? Wo sowas strukturiert von "Adam und Eva an" angegangen wird??

- Ist PHP/MySQL überhaupt der richtige Ansatz für mich? Oder lässt sich sowas auf anderem Wege womöglich besser umsetzen?

Wie gesagt: nen Haufen dummer Fragen... SORRY!! Steh' hier einfach wie der besagte Ochs vorm Berg, bekomm' Schweissausbrüche beim Gedanken ans nächste Meeting und brauch irgendjemand, der mich mal kurz bei der Hand nimmt und mir nen strukturierten Einstieg gibt, an dem ich mich dann entlanghangeln kann...

Ich Danke euch jetzt schonmal ganz herzlich und hoffe, ihr könnt mir helfen...!

Mister Ad

xm22

Das Konzept, dass Du beschreibst, nennt sich RBACL (Role based access control list), wobei Role für Deine "Level" steht.

Schau Dir mal das CMS Typolight an, da ist das, glaube ich, zumindest über Benutzergruppen möglich.

Ansonsten, falls Du das doch selbst entwickeln willst: Ein bisschen Erfahrung im Programmieren und ein paar Kenntnisse bei Benutzerverwaltungen wären nicht schlecht, wenn etwas halbwegs Brauchbares dabei rauskommen soll. Aber wie Du Dich beschreibst ("Blutiger Anfänger") sieht das in meinen Augen eher mau aus.

EDIT: Crosspostings sind nicht schön.

lstegelitz

Also du bist Designer und sollst nun programmieren? Kein guter Plan, ohne entsprechende Qualifikation und Wissen wird das wohl eher länger dauern, denn das Erlernen der Grundlagen wird dir niemand abnehmen können. Würd ich so auch dem Chef sagen...

Falls du ehrgeizig bist: Lerne Grundlagen

__________________
Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.

Dark Guardian

Wenn du jemand bist der schnell lernt dann ist es möglich. Im Prinzip brauchst du die "nur" die folgenden Bereiche angucken:

- Grundlagen (Syntax, Variablen, Funktionen, if-Abfragen, while-Schleifen, Arrays)

- Formularverarbeitung (Wie landen die Felder und ihre Werte bei PHP?)

- Session Managment (Wie sorge ich dafür das ich den Benutzer auf jeder Seite "wiedererkenne"?)

- Datenbankdesign (Wie baue ich die Datenbank auf? Welche Tabelle enthält welche Daten und wie werden sie verknüpft?)

- Datenbankmanagement (Wie lese ich Daten aus? Wie trage ich welche ein?)

- Sicherheitsaspekte (Was sind SQL-Injections? Was ist XSS? Wie verhindert man beides?)

Das klingt alles nun etwas viel. Die Kunst ist nun eher, wenn du einen Artikel zum Thema Datenbankdesign vor dir hast, zu filtern welche Informationen für dich relevant sind, und welche nicht, da es ja schnell gehen soll.

Try this -> http://www.selfphp.de/kochbuch/index.php -> Good luck, young Jedi.

HPR1974

Der knackpunkt Deiner anforderungen ist die geschichte mit dem download. Hier brauchst Du ein zusammenspiel von verzeichnisschutz und deinen weiteren inhalten...
Das bekommst Du so ohne weiteres nicht hin..

Wolla

Lässt dein Chef die Bremsbeläge eurer Firmenwagen auch von der Chefsekretärin wechseln? Du bist als Anfänger mit dieser Programmier-Aufgabe hoffnungslos überfordert.
Eine Möglichkeit, bei der kein tieferes Verständnis von PHP und Mysql nötig ist, könnte je nach Aufgabenstellung dich darin liegen, dich in ein CMS einzuarbeiten und das Problem mit z.B. Joomla oder Typo3 zu lösen. Dort sind Passwortbereiche fertig und du kannst das, was du erreichen willst ggf. über ein ACP einstellen.
(Wenn deine Firma dir einen Lehrgang spendiert, dann entscheide dich für Typo3 - das ist die eierlegende Wollmilchsau schlechthin. Mit guten Kenntnissen in T3 hebst du deine Chancen auf dem Arbeitsmarkt beträchtlich.)

__________________
Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn?

nikosch

Hier noch einmal offiziell:

Dringlichkeit ist kein Kriterium für ein berechtigtes Crossposting!

Bitte beachten: Anmerkungen zu Crosspostings


Der Rest wurde ja schon hier und dort gesagt. Die Aufgabe zerfällt in 3 Teilbereiche:

- Authentifizierung (Login und ggf. später Registrierung über Opt-In)
- Authorisierung + Nutzerberechtigungssystematik
- authorisierungsgebundene Auslieferung von Inhalten

Auf letzterens mußt Du achten, wenn Du den Vorschlag mit dem CMS in Erwägung ziehst: Selbst manche Autorensystem mit Nutzerkontrolle (dort im Allgemeinen als Autorenrechtesystem umgesetzt) zeigen Mängel beim konkreten Schutz von Downloads/Ressourcen. Gerade weil Ressourcen (Bilder, PDF, Downloads) zum einen in einer möglichst einfach strukturierten Bibliothek liegen sollen, dann für die Website u.U. frei verfügbar sein müssen (Seitenbestandteile wie Logografiken) und dann aber eingeschränkt werden sollen, ist das nicht ganz trivial und bei einigen CMS nicht umgesetzt. Konkret weiß ich das von Redaxo.

Die ganz großen CMS haben das sicher, dadurch wird das System aber bereits so modular, dass Du da einiges an Einarbeitungszeit rechnen kannst. Gerade als Nicht-Entwickler wirds sicher noch etwas schwerer, die zugrundeliegenden Mechanismen zu verstehen.

Von der Integration in Euer System (genau genommen wird wohl eher Euer System im CMS neu aufgesetzt werden) haben wir noch gar nicht gesprochen. Das stände allerdings mit jedem anderen Fertigscript ebenfalls auf dem Blatt, schließlich sind Punkt 2 und 3 tiefgehende Systemabhängigkeiten.

__________________
--
One pixel is still too big. Please make it smaller. ASAP.

Initiative Mittelstand.
Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers.
--