Hallo zusammen,
ich habe bei verschiedenen Projekten unterschiedliche Zugangskontrollen im Einsatz. Auf der einen Seite einen Schutz der Seiten durch Anmeldung über PHP (die Benutzerinformationen sind in einer Datenbank hinterlegt). Bei erfolgreicher Anmeldung wird eine Session angelegt, in der die wichtigsten Benutzerinfos (einzelne Rechte, E-Mail-Adresse etc.) sowie der Status "logged_in" gespeichert wird. Dieser Status wird auf jeder Seite abgefragt und bei fehlen dieses Wertes wird auf die Login-Seite weitergeleitet.
Ein anderes System habe ich auf einer Seite im Einsatz, wo ich nur den Benutzernamen brauche und alle Benutzer die selben Rechte haben. Dort habe ich den Bereich mit .htaccess geschützt.
Ich frage mich nun, was die sicherere Lösung ist und ob eine Kombination sicher wäre. Ich könnte doch den Bereich mit .htaccess schützen, dann den Benutzernamen des erfolgreich angemeldeten Benutzers auslesen und seine Benutzerrechte und -informationen bei Bedarf aus einer Datenbank auslesen.
Ist das irgendwie sicherer, unsicherer, sinvolll oder sinnlos?
Ich hoffe ihr konntet mir folgen und freue mich auf eure Meinungen.
Viele Grüße
Florian