Hallo
Gibt es auch "Daten Desinfektionen" für PHP selber, dh. ohne Mysql ?
Ich will was gerne mit Sessions machen/erstellen (lernen)...finde aber nirgends Tutorials/Beispiele für die Daten Desinfektion ohne Mysql.
Es ist überall nur mit Datenbanken beschrieben (Sql Injection) ...
P.S. ich bin Anfänger, deswegen ohne Mysql.
Danke 
Was verstehst Du unter "Daten Desinfektionen" ?
Also wenn ich zb. ein Formular mit Session erstelle wie kann ich die Input Felder etc schützen, ohne das jemand auf die dumme Gedanken kommt und sofort alles kaputt macht ? (Wie gesagt, ohne Datenbanken/Mysql etc...)
Danke 
Oh, da gibt es so einige:
strlen für Stringlänge
filter_var für Zahlen, Emails und alles mögliche andere
preg_match wenn man reguläre Ausdrücke verwenden will ...
Einfach mal https://www.html-seminar.de/www.php.net durchstöbern 
Clientseitig nur mit Javascript...
Aber du könntest natürlich seine login ID verfallen lassen.. wie weiß ich nicht aber bestimmt jemand anderes hier..
seitens PHP:
$_COOKIE
oder
$_SESSION
(oder Datenbank, oder Memory).
Du musst Dir halt irgendwo hinschreiben, wann die letzte Aktion war.
Dann prüfst Du, ob die letzte Aktion länger her ist, als von Dir gewünscht.
zB
if( $_SESSION['last_active']+10 < time() ) // wenn *letzter aufruf* + 10 sek kleiner ist als *jetzt*
{
// letzer aufruf zu lange her
}Hi @all
Ich habe einen Video gesehen, was gar nicht so blöd für meine Hobby Seite wäre... und ich habe es versucht seit heute Morgen, aber klappt nicht bestens..
Wie auf dem Video zu sehen ist, nach erfolgreichem Login sollte ein Timeout von X Sekunden aktiviert werden, also wenn ich X Sekunden innerhalb des geschützten Bereich nicht navigiere dann sollte ich automatisch ausgeloggt werden d.h. ich muss mich wieder auf der Startseite einloggen per Formular...
Hier ein Video http://netzr.de/private/videos/4PnWSr3/
Ich habe was angefangen , und versucht habe ich es auch wie cottton beschrieben hat per if, aber das funktioniert bei mir nicht. 
Login mit TimeoutLogin mit Timeout usw.. 123'); ?>
Achtung!"; } ?>
Benutzername:
Passwort:weiter.php Datei
<!--?php session_start();
//$host = htmlspecialchars($_SERVER["HTTP_HOST"]);//$uri = rtrim(dirname(htmlspecialchars($_SERVER["PHP_SELF"])),"/");
if (isset($_POST["benutzer"]) && $_POST["benutzer"] == "neuer" && $_POST["passwort"] == "test2") { $_SESSION["benutzer"] = "neuer"; $_SESSION["login"] = "ok"; $extra = "../ses2/versteckt.php";} else { $extra = "../login.php?f=1";}
header("Location: $extra");
?>versteckt.php Datei
WillkommenWas kommt hier? :D
Mein text
Noch mehr Privates!
Ausloggen!
<!--?php
} else { $host = htmlspecialchars($_SERVER["HTTP_HOST"]); $uri = rtrim(dirname(htmlspecialchars($_SERVER["PHP_SELF"])),"/"); $extra = "login.php"; header("Location: http://$host$uri/$extra"); } ?>logout.php Datei
<!--?php
$_SESSION = array();if (isset($_COOKIE[session_name()])) { setcookie(session_name(), "", time()-42000, "/");}
session_destroy();//$extra = "../login.php";header("login.php");
?>Wie kann ich es lösen ..wie würdet ihr das machen ......
Danke
Edit:
The Scout, ich werde es versuchen..
Danke dir .. hoffentlich klappt das..
Naja, im Grunde geht das wirklich so einfach, wie cotton das beschrieben hat.
Hier mal ein kleines Skript, wie das aussehen könnte:
<?php
session_start(); // Session
$now = time(); // Aktuelle Zeit, dann muss die nur einmal ausgelesen werden
$diff = 10; // Zeit in Sek, nach denen ausgeloggt wird
if (!isset($_SESSION["last_action"]) OR empty($_SESSION["last_action"])
OR $_SESSION["last_action"] + $diff < $now)
// Gucken, ob die Session da, gefüllt, und "jung genug" ist, falls nicht ...
{
$_SESSION["last_action"] = $now; // ... Session aktualisieren ...
header("Location: http://www.example.com/"); // ... Seite wechseln ...
exit(); // ... und Skript beenden, damit nichts passiert, falls header versagt
}
else // Wenn mit der Zeit alles stimmt
{
$_SESSION["last_action"] = $now; // Damit das wieder stimmt
/**
* Hier kommt dann der Content hin, der geschützt werden soll
*/
}
?>
PS: Ich hab übrigens gemerkt, wozu die neue Zeile für geschweifte Klammern gut sein kann
"versteckt.php"
mach sowas nicht. Sowas wird Verschleierung genannt und ist nicht sicher.
Sicher ist, wenn es "egal" ist, ob es jemand kennt, aber trotzdem keiner "ran" kommt.
Angenommen Du hast
- index.php
- admin.php
- login.php
- logout.php
Dann ruft Nutzer beim Aufruf der URL (http://deine-seite.de) die index.php auf.
Da drin hast Du Deine Navigation
"Startseite | Bilder | Admin".
Auf der Startseite braucht niemand eingeloggt zu sein. Die Bilder darf auch jeder sehen.
Aber die Seite Admin braucht einen Login.
Hinter dem Admin-Button ist ein Link zu "admin.php".
In der admin.php kommt nun eine Prüfung, ob Nutzer eingeloggt ist. Wenn nicht: umleiten zum Login
admin.php
session_start();
if(!isset($_SESSION['logged_in']) or $_SESSION['logged_in'] !== true){
// wenn session logged_in nicht existiert, oder "nicht genau" der wert und typ true ist
header("Location: login.php");
exit();
}
// hier kommt man nun nur hin, wenn man eingeloggt ist
// dein inhalt ...
Wie The Scout schon sagte: Skript beenden, damit nichts passiert, falls header versagt.
Aber auch wenn header() funktioniert, wird das Script durch header() nicht beendet.
Also nach header() immer exit() (sehr selten will man, dass es weiter läuft).
Der Nutzer landet in der login.php und muss sich anmelden.
Dort sollte man auch gleich prüfen, ob denn Nutzer schon eingeloggt ist.
Denn er kann ja die Seite auch manuell aufrufen. Wenn er also schon eingeloggt ist,
dann kann man zB eine Meldung ausgeben wie: "Du bist schon angemeldet".
login.php
session_start();
// ist nutzer schon eingeloggt?
if(isset($_SESSION['logged_in']) and $_SESSION['logged_in'] === true){
echo "Du bist schon eingeloggt";
// die last_action setzen zwecks timeout:
$_SESSION['last_action'] = time();
exit(); // und ende
}
// hier kommt man nun nur hin, wenn man NICHT eingeloggt ist
// form gerade abgeschickt?
if(isset($_POST['submit'])){
// hier deine form prüfen
// isset(...name ...) und nicht leer
// isset(...pw ...) und nicht leer
// und stimmt name und pw ...
// ...
// wenn alles in ordnung, dann setzt du die logged_in session:
if(/* ... alles ok ... */){
$_SESSION['logged_in'] = true;
echo "Du hast Dich angemeldet ...";
// die last_action setzen zwecks timeout:
$_SESSION['last_action'] = time();
exit(); // und ende
}
}
// hier kommt man auch nur hin, wenn man NICHT eingeloggt ist
// (wenn formular zB abgeschickt wurde und nutzer nun eingeloggt ist braucht er das formular nicht mehr)
?>
<form ...>
<!-- deine form ... -->
</form>Jetzt der Logout-Button:
Hinter dem Logout-Button ist ein Link zu "logout.php".
logout.php
session_start();
// ist denn nutzer eingeloggt? wenn nicht, kann man ihn nicht ausloggen:
if(!isset($_SESSION['logged_in']) or $_SESSION['logged_in'] !== true){
// wenn session logged_in nicht existiert, oder "nicht genau" der wert und typ true ist
// meldungen kann man sich hier sparen. eine weiterleitung macht wohl mehr sinn:
header("Location: login.php");
exit();
}
// hier kommt man nun nur hin, wenn man eingeloggt ist
// nutzer ist eingeloggt und will ausgeloggt werden:
$_SESSION['logged_in'] = false;
echo "Du hast Dich abgemeldet";Das wäre ein einfacher Login.
Jetzt zum Timout:
In der admin.php baust Du The Scout´s check ein:
admin.php
session_start();
if(!isset($_SESSION['logged_in']) or $_SESSION['logged_in'] !== true){
// wenn session logged_in nicht existiert, oder "nicht genau" der wert und typ true ist
header("Location: login.php");
exit();
}
// hier kommt man nun nur hin, wenn man eingeloggt ist
// hier nun the scout´s check:
$now = time(); // Aktuelle Zeit, dann muss die nur einmal ausgelesen werden
$diff = 10; // Zeit in Sek, nach denen ausgeloggt wird
if (!isset($_SESSION["last_action"]) OR empty($_SESSION["last_action"])
OR $_SESSION["last_action"] + $diff < $now)
// Gucken, ob die Session da, gefüllt, und "jung genug" ist, falls nicht ...
{
$_SESSION["last_action"] = $now; // ... Session aktualisieren ...
header("Location: login.php"); // ... Seite wechseln ...
exit(); // ... und Skript beenden, damit nichts passiert, falls header versagt
}
else // Wenn mit der Zeit alles stimmt
{
$_SESSION["last_action"] = $now; // Damit das wieder stimmt
/**
* Hier kommt dann der Content hin, der geschützt werden soll
*/
}EDIT:
in der bilder.php (und allen anderen Seiten) musst Du den Zeitstempel "last_action" auch aktualisieren:
bilder.php
session_start();
// die last_action setzen zwecks timeout:
$_SESSION['last_action'] = time();
// ...Vielen Dank..
Sorry, dass ich erst jetzt antworte, war too busy..ich werde probieren deinen Beispiel nachzubauen.
Vielen Dank The Scout und cottton
Hallo
Bis jetzt (heute) hatte ich keine Zeit, aber jetzt habe ich es ausprobiert, nur ich habe noch eine Frage
Durch was genau muss ich "last_action" austauschen ?
Überall "last_action" aber ich sehe keinen Sinn...
$_SESSION['last_action'] = time();
if (!isset($_SESSION["last_action"]) OR empty($_SESSION["last_action"])
OR $_SESSION["last_action"] + $diff < $now)
{
$_SESSION["last_action"] = $now;Das kannst du nennen wie Du möchtest.
"last_action" kann auch "zuletzt gesehen" heißen.
Es ist die Ebene mit dem Namen "last_action" im Array $_SESSION.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!