Ik kan reeds goed met PHP en loginsessies overweg. Maar nu ben ik aan een project bezig waar slechts 1 gebruiker zal moeten inloggen, en alleen een wachtwoord opgeven (geen gebruikersnaam).

Is het veilig genoeg om in login.php te werken met

PHP Code:

if ( $_POST['password'] == 'wachtwoord123456789' ) { $_SESSION['loggedin'] = 'YES'; } 


of werkelijk ook een database erachter gebruiken waar in de tabel "gebruikers" dan slechts 1 gebruiker zal zijn?

Alvast bedankt

Maakt op zich niets uit, maar als je met de database werkt is het mogelijk om het wachtwoord te wijzigen. Doe je het op de hierboven genoemde manier, kan dat dus niet of alleen omslachtiger.

Als je het op deze manier doet zou ik er wel voor zorgen dat sessies snel vervallen (vijf minuten geen activiteit bijvoorbeeld) en eventueel de if-voorwaarde aanpassen naar bijvoorbeeld:

PHP Code:

if(md5($_POST['password']+'blablabla')=='125fcf9ac4619004f73045c0c8b39711') { 
$_SESSION['loggedin'] = 'YES'; 
$_SESSION['IP'] = $_SERVER['REMOTE_ADDR']; 
} 


Just in case iemand inzage in je bestandjes krijgt.

Ook zou ik dit toevoegen en op elke pagina doen:

PHP Code:

if ($_SESSION['IP'] != $_SERVER['REMOTE_ADDR']) {
$_SESSION['loggedin'] = 'NO';
} 


Dat om te voorkomen dat er (met bijvoorbeeld een javascript) een PHP SESSION ID gestolen wordt en er toegang is.

Tot slot wil ik je aanraden om actieve sessies wel in een database te zetten om zo te kunnen zien of er meerdere keren tegelijk als admin ingelogd is.