Verbindungs-Kennung in <input hidden> mitspeichern

[cHeL]

Ich möchte einfach eine Seite zum Abfragen der MySQL datenbank machen.
Am anfang möcht ich mich anmelden, dann soll die Verbindungs-Kennung an die eigentliche Abfrage - seite geschikt werden. Dort werd ich die verbindungs-Kennung brauchen ( z.B.: Resource id #2 ). wenn ich diese zeichenfolge sende, funktioniert es nicht. Anscheinend ist die Verbindungs-Kennung deutlich grösser als nur "Resource id #2".
Wie kann ich die mitsenden?

oder wie kann ich mich anmelden, was da machen, und dann wieder abmelden?
So wie in Forums, in Web.de usw. Ist doch nichts neues.
Google quäle ich schon seit 2 Tagen. find nix brauchbares.
Gruß

[Heinrich]

Hi,

versteh nicht, warum du die in einem hidden-Feld mitschicken willst (zumal das online jeder im Quelltext lesen kann). Bau' doch die Verbindung ins Verarbeitungsscript ein.

Ganz klar ist mir nicht, was du wo definiert hast. Wenn du dich mit deiner DB verbinden willst, musst du mindestens angeben:
Host
Benutzer
Passwort
DB-Name

Gruß
Heinrich

[Opendix]

übergebe nie daten per hidden-felder!

hierfür gibt es sogenannte SESSIONs!!

[cHeL]

dann muss ich aber auch jedesmal user, password mitschiken. Das wäre nicht gut.
Ich will dass nur besstimmte leute da rein können, nicht ein xbeliebiger.
Daher müsste ich auch die Daten(user/pw) mitschicken. Oder die Kennung od. sonstwas,um die user eindeutig zu identifizieren.

Evtl. könnt ihr mir was besseres vorschlagen?

Mit sessions kenn ich mich nicht aus, was hat das für forteile gegenüber post/get? Warum soll ein hidden schlecht sein?

Thx.

[Heinrich]

Hi,

hidden-fields kann jeder Außenstehende lesen. Wenn da im Klartext die Angaben drinstehen, kannst du deine DB in die Tonne tun. Selbst wenn du mit php was reinschreibst, ist ein solches Feld ein Hinweis für einen Angriffspunkt.

Du musst deine Verbindungsdaten niemandem schicken. Was du willst, stelle ich mir so vor:
Du hast ein Formular mit Eingaben, die eine DB-Abfrage auslösen (o.ä.).
Die werden an ein Script übergeben, das alles ausführt.
In dieses Script gibst du die Verbindungsdaten zu DB ein. Das sieht kein Mensch.
Im Formular baust du für externe Benutzer einen Namen und Passwort ein, die du vergibst und die die Benutzer eingeben müssen.
Fertig, oder?

Gruß
Heinrich

[cHeL]

dann werden die jedesmal mitgeschickt. Das ist nocht gut. Wenn ich was mit get schicke, steht dann alles in der url drin. Gibt der user jemandem diesen link, ist es für ihn aus.

[KTB]

Zitat:

Zitat von cHeL

Wenn ich was mit get schicke, steht dann alles in der url drin.

Dann benutze doch post ^^

Kannst du mir nochmal genau erklären was du machen möchtest?
Verstehe ich das richtig:
Benutzer soll sich anmelden
hat dann Zugriff auf Daten
loggt sich aus.
Richtig so?

[cHeL]

Hab mir ein neues system ausgedacht:

1.Anmeldung: User geht auf home/login.php, gibt dort sein username und passwort ein. Login.php prüft, ob er registriert ist in der DB reg_usr.
2.Dann wird in der DB reg_user (falls er registriert ist ) seine IP und timestamp hinterlassen.
3.Es wird die bestätigung seiner Anmeldung ausgespuckt.
4.Jetzt kann er die DB "interessant" abfragen, dabei wird jedesmal seine IP abgefragt und mit den Daten aus "reg_usr" verglichen. Stimmen die Daten, steht der "DB.interessant" - Abfrage nichts im weg.
5. nach einer bestimmten dauer muss die in "DB.reg_usr" hinterlassene IP wieder gelöscht werden -> wenn jemand andrer irgendwann die selbe IP hat, darf er schliesslich nicht rein. Dafür brauch ich auch ein timestamp in "DB.reg_usr".

Bei dieser Strategie brauch ich nichts zu versenden, was den user eindeutig macht.

Was sagt ihr dazu?

edit:@KTB: ja stimmt, das stell ich mir vor.

[KTB]

Die Idee mit der IP ist zwar gut, jedoch dürfte das zu einem Problem in Internetcafes etc. führen wo mehrere Leute über die gleiche Leitung surfen.
Ich hab es anders gelöst.
Wenn sich bei mir jemand anmeldet wird eine UniqID erstellt und in die DB geschrieben. Diese identifiziert den User eindeutig. Weiterhin wird noch die aktuelle Zeit+t geschrieben (t ist die Zeit die die uID gültig ist).
Wenn der User nun rumsurft wird immer nachgeschaut ob die uID existiert und die aktuelle Zeit kleiner ist als die in der DB steht. Anhand dieser Daten kann derjenige sich dann die für ihn bestimmten Daten anzeigen lassen.
Damit ist dann auch das Problem gelöst, dass die uID irgendwie gelöscht werden muss. Wenn die aktuelle Zeit größer ist als die in der DB eingetragene wurde das Zeitlimit überschritten und man muss sich wieder neu einloggen.

[cHeL]

Dann lässt du die UniqID jedesmal mitschicken? Man könnte dann dafür auch den Username benutzen. (username hat mit echen daten zum einloggen in die Datenbank nix zu tun, juder user hat anderes username)