php - Sessions, login og userlevels...? - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #5297 @ 26.01.05 03:49

Hejsa Udviklerer...!

Jeg sidder og skal til at lave et login system til et clan-site, hvor brugerne har forskellig adgang.

Der vil være:

En admin, som har adgang til alle områder.

En Clan Leader, som har adgang til næsten alle områder.

Nogle Team Leaders, som har adgang til områder, der vedrører det team de styrer.

En masse members, som skal have adgang til at rette, deres egen profil.

Jeg laver en database med følgende oplysninger:

Tabelnavn users

id
brugernavn
password
userlevel

Mit spørgsmål er så:

Kan jeg bruge Sessions til at finde ud af, hvem der har adgang til hvilke områder således:

- at members ikke kan få adgang til andre områder en ens egen profil.

- at team leaders kun har til områder der vedrører der eget team.

Og så videre...?

Jeg har fundet nogle koder her på udvikleren, som måske bare skal skrives lidt om.

Jeg ved det ikke helt, da jeg ikke har nogen erfaring med Sessions. Jeg har dog læst de artikler, der er her på udvikleren.

Jeg har forestillet mig, man kan bruge følgende på den side, hvor folk skal logge ind, via en form.

Kode

<? include("db.php");
session_start();
if ($brugernavn > "") {
$result = mysql_query("SELECT * FROM users where brugernavn = '$brugernavn'") or die (mysql_error());
$row = mysql_fetch_array($result);
$number = mysql_num_rows($result);
if ($number == "0") {
$_SESSION['loggedin'] = 0;
echo "<font color='red'>Brugeren findes ikke</font>";
} else {
if ($row[password] == $password) {
$_SESSION['loggedin'] = ($row[userlevel]);
?>
<script language="JavaScript" type="text/javascript">
location.href="profil.php?id=<? echo "$row[id]"; ?>"
</script>
<?
} else {
$_SESSION['loggedin'] = 0;
echo "<font color='red'>Forkert password</font>";
}
}
}
?>

Og så bruge nedenstående kode til at kontrolere om brugeren har det rigtige adgangslevel.

Kode

<?
session_start();
if(!$_SESSION['loggedin'] >= 1 < 4) {//Hvis brugeren ikke adgang
header("Location: http://www.side.dk/duharikkeadgang.php"); //Sender brugeren videre til en side, der fortæller de ikke har adgang
exit; //Sørger for at resten af koden, ikke bliver udført
}
if(!$_SESSION['loggedin'] < 1 ) {//Hvis brugeren ikke er logged in
header("Location: http://www.side.dk/loginpage.php"); //Sender brugeren videre til login siden
exit; //Sørger for at resten af koden, ikke bliver udført
}
?>

Jeg har som sagt ikke den helt vilde erfaring, men jeg håber i vil være behjælpelige.

Mvh Sol

5 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 4 karma

Sorter efter stemmer Sorter efter dato

Bruger #6528 @ 26.01.05 09:06

255

de ting admin skal have adgang skriver du

Kode

if($_SESSION["loggedin"] == 4) {

<--siden her-->
}

Adgang til almindelige brugere bliver så

Kode

if($_SESSION["loggedin"] == 1) {

<--siden her-->
}

hvis så moderator og admin skal have adgang skriver du

Kode

if($_SESSION["loggedin"] > 2) {

<--siden her-->
}

[Redigeret d. 26/01-05 09:07:35 af Steffen Pedersen]

Bruger #5297 @ 27.01.05 03:07

de ting admin skal have adgang skriver du
Kode
if($_SESSION["loggedin"] == 4) {

<--siden her-->
}
Adgang til almindelige brugere bliver så
Kode
if($_SESSION["loggedin"] == 1) {

<--siden her-->
}
hvis så moderator og admin skal have adgang skriver du
Kode
if($_SESSION["loggedin"] > 2) {

<--siden her-->
}
[Redigeret d. 26/01-05 09:07:35 af Steffen Pedersen]

Okay... Det virker jo rimelig simpelt...

Kan man godt bruge en variable til at lave sessionid, som jeg har gjort i nedenstående exempel? Det er en del af den første kode i mit første indlæg...

Kode

$_SESSION['loggedin'] = 0;
echo "<font color='red'>Brugeren findes ikke</font>";
} else {
if ($row[password] == $password) {
$_SESSION['loggedin'] = ($row[userlevel]);
?>

Har lige et tillægs spørgsmål...

Hvordan sikre jeg så, at en bruger ikke kan gå ind på andre brugeres profiler og ændre dem, når nu alle brugerer vil få sammen Sessionid...?

Mvh

Sol

Bruger #6528 @ 27.01.05 12:51

255

Jeg tror det mest logiske ville være at gemme brugerens id og et md5 hash af hans password 2 sessions. Derved kunne du tjekke om brugerens id er = profilens og hvis den er kan han redigere den. Du bør dog nok lave et tjek på hver side for at se om id og password svarer til hinanden.

[Redigeret d. 27/01-05 12:52:12 af Steffen Pedersen]

Bruger #5297 @ 29.01.05 02:28

Jeg tror det mest logiske ville være at gemme brugerens id og et md5 hash af hans password 2 sessions. Derved kunne du tjekke om brugerens id er = profilens og hvis den er kan han redigere den. Du bør dog nok lave et tjek på hver side for at se om id og password svarer til hinanden.

[Redigeret d. 27/01-05 12:52:12 af Steffen Pedersen]

Okay...

Er der mulighed for at du kan lave et eksempel på hvordan de 2 sessions ville se ud...? Jeg kender som sagt ikke så meget til det...

Mvh

Sol

Bruger #6528 @ 31.01.05 14:12

255

når brugeren logger ind skal følgende foretages:

Kode

$_SESSION["id"] = $id;
$_SESSION["password"] = $password;
$_SESSION["level"] = $level;

så tjekker du øverst på hver side

Kode

$result = mysql_query("SELECT * FROM tabel WHERE id=$_SESSION["id"] AND password = $_SESSION["password");
$antal = mysql_num_rows($result);
if($antal !=1) { exit(Login error);
}

Sessions, login og userlevels...?

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler