Login-Script mit Benutzersperrung
Hi @ll
Ich möchte ein möglichst sicheres Login-Script schreiben, habe zu diesem Thema nichts im Forum gefunden und bräuchte noch ein paar Denkanstösse...
Wenn Usernamen und Passwort stimmen, ist das Ganze ja kein Problem, aber ich möchte (absichtliche) Falscheingaben möglichst eindämmen und suche nun nach einer Methode, wie ich einen beliebigen Surfer nach drei Fehleingaben sperren kann und zwar auf zwei verschiedene Arten:
1) Wenn der User wirklich in der DB vorhanden ist, kann ich ihn dort auch sperren. Die Frage ist eher, wie ich das Hochzählen bis zum 3. falschen Login am besten mache... Ist ein Feld "fehlgeschlagene Logins" in der DB sinnvoll, das jedesmal um 1 erhöht wird oder soll ich die Anzahl falscher Logins besser in die Sessions-Variabeln aufnehmen? (Oder gibt es noch eine bessere Methode?)
2) Wenn der User gar nicht in der DB exisitiert und einfach einer versucht reinzukommen, wird das Ganze etwas mühsamer. Mit einer Session erkenne ich ihn zwar während der 3 Falscheingaben aber wie erkenne ich ihn beim nächsten Versuch? Setze ich ein Cookie, kann der Surfer diesen löschen und steht wieder mit "reiner Weste" da. Die IP kann ich schlecht blockieren, da ja mehrere DSL-Surfer z.B. sich eine IP teilen und ich nur den einen blockieren möchte. Die Session kann ich ja auch nicht ewig laufen lassen... Gibt es noch andere (oder ausgeklügeltere) Methoden, solch einen User wiederzuerkennen?
htacces habe ich leider (noch) nicht auf dem Server, dort würde das Abblocken nach 3 Falscheingaben ja funktionieren, allerdings kann man dort auch mehr oder weniger beliebig oft wieder einen Versuch unternehmen (einfach nach 3 falschen Eingaben die Seite neu laden), es ist also auch nicht so das Gelbe vom Ei...
__________________
thx @ all!
Swordfish
|