PHP Login Skript (für Fortgeschrittene!)

Hey,

Der Titel klingt zwar danach, als ob jemand (ich) Probleme hätte ein Login Skript aufzubauen anhand von Session IDs oder Cookies oder ähnlichen schlichten Systemen, aber eher möchte ich eigentlich nur eine simple Frage beantwortet haben, von Leuten, die sich etwas mehr mit der Materie PHP befassen und den bekannten Sicherheitsfragen. Das grundlegende PHP Knowledge ist bei mir nämlich gegeben.

Wie eben erwähnt, gibt es ja verschiedene Varianten ein Login Skript mit Benutzerdatenbank im Hintergrund umzusetzen. Mit einer Session, mit Cookies oder dubiosen IP-Bezogene MySQL Sessions. Nun, welches System nutzt man jetzt im Endeffekt in professionelle Webapplikationen? Wie setzt man im Zeitalter des WEB 2.0 ein Loginskript um? Weiterhin mit den Session Funktionen?

Grüße,

Calvin

welches System nutzt man jetzt im Endeffekt in professionelle Webapplikationen

Zum Vergrößern anklicken....

was verstehst du unter einer professionellen Webapplikation? Das beste Ergebnis, wenn du Aufwand und Ertrag ansieht, ist meiner Meinung nach immernoch Das Login Skript mit der Session

Kommt auf den Einsatzzweck der Webapplikation an: Sollte es eine Intranet / Extranet-Lösung nur für ein Unternehmen sein, so würde ich zu der SESSION noch eine IP-Adressbasierte Lösung nutzen.
Das kann dann z. B. aber schon auf Webserver-Ebene geschehen und muss nicht in PHP realisiert werden.

(HTACCESS, Black / Whitelists Apache usw.)

Ansonsten sollte ein SESSION Loginssystem ausreichen. Hier ist nun halt auch die Gründlichkeit der Entwickler gefragt:

- Vorbeugung von SQL-Injections (Stichwort: mysql_real_escape(); prepared SQL Statements, Stored Procedures)
- Cross-Site Scripting verhindern
- Angriffe gegen Sessions abfangen
- Cross-Site Request Forgery abfangen
- Richtigkeit der Variablen überprüfen (is_numeric(), is_int(), ctype_digit() usw.)
- mod_security
- suhosin php extension
usw.