projects/usbcheck.it
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

ab die maus

Browse Source
This commit is contained in:
Lars Gebhardt-Kusche
2025-11-22 02:56:15 +01:00
parent 7411aafe76
commit d45e971ae0
9 changed files with 160 additions and 62 deletions
Download Patch File Download Diff File Expand all files Collapse all files

60
src/auth/login.php
View File

@@ -1,29 +1,34 @@
<?php
// public/auth/login.php
// src/auth/login.php
// wird durch public/auth/login.php aufgerufen
// Nur POST zulassen
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
// Direktzugriff per GET → einfach zurück zur Login-Seite
$lang = $_GET['lang'] ?? 'de';
header('Location: /login/?lang=' . urlencode($lang) . '&view=login#auth');
exit;
}
// Daten einsammeln
// Basis-Setup: Session, $pdo, flash_*, Config etc.
require_once __DIR__ . '/../../config/fileload.php';
// Form-Daten einsammeln
$lang = $_POST['lang'] ?? 'de';
$email = trim((string)($_POST['email'] ?? ''));
$password = (string)($_POST['password'] ?? '');
$redirect = $_POST['redirect'] ?? '/';
// Minimale Validierung
// Minimal-Validierung
if ($email === '' || !filter_var($email, FILTER_VALIDATE_EMAIL) || $password === '') {
flash_set('error', 'Bitte E-Mail-Adresse und Passwort eingeben.', 'login');
header('Location: /login/?lang=' . urlencode($lang) . '&view=login#auth');
exit;
}
// Annahme: $pdo ist in fileload.php / db.php gesetzt (PDO-Instanz)
/* ---------------------------------------------------------
USER LADEN
--------------------------------------------------------- */
try {
$stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email LIMIT 1');
$stmt->execute([':email' => $email]);
@@ -41,20 +46,27 @@ if (!$user) {
exit;
}
// Account gesperrt?
/* ---------------------------------------------------------
ACCOUNT GESPERRT?
--------------------------------------------------------- */
if (!empty($user['is_locked'])) {
flash_set('error', 'Dein Konto ist gesperrt. Bitte kontaktiere den Support.', 'login');
header('Location: /login/?lang=' . urlencode($lang) . '&view=login#auth');
exit;
}
// Passwort prüfen
/* ---------------------------------------------------------
PASSWORT PRÜFEN
--------------------------------------------------------- */
if (!password_verify($password, $user['password_hash'])) {
// Fehlversuche hochzählen (optional)
// Fehlversuche hochzählen
try {
$failed = (int)($user['failed_logins'] ?? 0) + 1;
$lock = 0;
$lock = 0;
if ($failed >= 5) {
$lock = 1;
}
@@ -66,7 +78,7 @@ if (!password_verify($password, $user['password_hash'])) {
':id' => $user['id'],
]);
} catch (Throwable $e) {
// Ignorieren, Login-Fehler reicht
// Nicht kritisch, Meldung reicht
}
$msg = 'E-Mail oder Passwort ist falsch.';
@@ -79,7 +91,10 @@ if (!password_verify($password, $user['password_hash'])) {
exit;
}
// Passwort korrekt → Fehlversuche zurücksetzen & letztes Login speichern
/* ---------------------------------------------------------
PASSWORT KORREKT → FAILED_LOGINS RESET + LAST_LOGIN
--------------------------------------------------------- */
try {
$upd = $pdo->prepare('UPDATE users SET failed_logins = 0, last_login_at = NOW() WHERE id = :id');
$upd->execute([':id' => $user['id']]);
@@ -87,12 +102,10 @@ try {
// Nicht kritisch für den Nutzer
}
// Session füllen
if (session_status() !== PHP_SESSION_ACTIVE) {
@session_start();
}
/* ---------------------------------------------------------
SESSION FÜLLEN
--------------------------------------------------------- */
// Initialen bauen
$firstName = $user['first_name'] ?? '';
$lastName = $user['last_name'] ?? '';
$initials = '';
@@ -118,16 +131,19 @@ $_SESSION['user'] = [
'initials' => $initials,
];
// Flash für „Willkommen“
/* ---------------------------------------------------------
FLASH & REDIRECT
--------------------------------------------------------- */
flash_set('success', 'Willkommen zurück, ' . ($user['first_name'] ?: 'User') . '!', 'login');
// Redirect-Ziel prüfen (nur interne Pfade erlauben)
// Redirect absichern: nur interne Pfade
$target = is_string($redirect) ? trim($redirect) : '/';
if ($target === '' || $target[0] !== '/') {
if ($target === '' || !str_starts_with($target, '/')) {
$target = '/';
}
// Sprache ggf. anfügen, wenn noch nicht als Parameter vorhanden
// Sprache anhängen
$sep = (strpos($target, '?') === false) ? '?' : '&';
$target = $target . $sep . 'lang=' . urlencode($lang);

18
src/auth/logout.php
View File

@@ -1,20 +1,22 @@
<?php
// public/auth/logout.php
// src/auth/logout.php
// wird durch public/auth/logout.php aufgerufen
if (session_status() !== PHP_SESSION_ACTIVE) {
@session_start();
}
require_once __DIR__ . '/../../config/fileload.php';
// Session leeren, aber NICHT komplett zerstören,
// damit flash_set noch funktionieren kann.
// Session läuft bereits durch fileload.php
// → wir müssen sie nur leeren, nicht löschen
// Session leeren (aber nicht zerstören flash_set muss funktionieren)
$_SESSION = [];
session_regenerate_id(true);
// Sprache aus GET, falls vorhanden
// Sprache mitnehmen
$lang = $_GET['lang'] ?? 'de';
// Flash-Meldung anzeigen
flash_set('success', 'Du wurdest erfolgreich ausgeloggt.', 'login');
// Zur Startseite zurück
// Redirect zur Startseite
header('Location: /?lang=' . urlencode($lang));
exit;

52
src/auth/register.php
View File

@@ -1,5 +1,6 @@
<?php
// public/auth/register.php
// src/auth/register.php
// Wird durch public/auth/register.php aufgerufen
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
$lang = $_GET['lang'] ?? 'de';
@@ -7,12 +8,19 @@ if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
exit;
}
// Benötigt: $pdo, flash(), Session → via fileload
require_once __DIR__ . '/../../config/fileload.php';
$lang = $_POST['lang'] ?? 'de';
$name = trim((string)($_POST['name'] ?? ''));
$email = trim((string)($_POST['email'] ?? ''));
$password = (string)($_POST['password'] ?? '');
$redirect = $_POST['redirect'] ?? '/';
/* ---------------------------------------------------------
VALIDIERUNG
--------------------------------------------------------- */
if ($name === '' || $email === '' || !filter_var($email, FILTER_VALIDATE_EMAIL)) {
flash_set('error', 'Bitte einen gültigen Namen und eine gültige E-Mail-Adresse eingeben.', 'register');
header('Location: /login/?lang=' . urlencode($lang) . '&view=register#auth');
@@ -25,13 +33,17 @@ if (strlen($password) < 8) {
exit;
}
// Prüfen, ob E-Mail bereits existiert
/* ---------------------------------------------------------
PRÜFEN, OB E-MAIL SCHON EXISTIERT
--------------------------------------------------------- */
try {
$stmt = $pdo->prepare('SELECT id FROM users WHERE email = :email LIMIT 1');
$stmt->execute([':email' => $email]);
$existing = $stmt->fetch(PDO::FETCH_ASSOC);
} catch (Throwable $e) {
flash_set('error', 'Es ist ein Fehler bei der Registrierung aufgetreten. Bitte versuche es später erneut.', 'register');
flash_set('error', 'Es ist ein technischer Fehler aufgetreten. Bitte später erneut versuchen.', 'register');
header('Location: /login/?lang=' . urlencode($lang) . '&view=register#auth');
exit;
}
@@ -42,10 +54,11 @@ if ($existing) {
exit;
}
// Username aus E-Mail ableiten (oder einfach die komplette E-Mail nutzen)
$username = $email;
// Vor- und Nachname grob aus dem „Name“-Feld splitten
/* ---------------------------------------------------------
NAME AUFTEILEN (Vorname / Nachname)
--------------------------------------------------------- */
$firstName = $name;
$lastName = null;
@@ -55,6 +68,11 @@ if (count($parts) >= 2) {
$lastName = implode(' ', $parts);
}
/* ---------------------------------------------------------
USER ANLEGEN
--------------------------------------------------------- */
$username = $email;
$passwordHash = password_hash($password, PASSWORD_DEFAULT);
try {
@@ -80,10 +98,10 @@ try {
exit;
}
// Direkt einloggen
if (session_status() !== PHP_SESSION_ACTIVE) {
@session_start();
}
/* ---------------------------------------------------------
DIREKT EINLOGGEN
--------------------------------------------------------- */
$initials = '';
if ($firstName !== '') {
@@ -107,16 +125,22 @@ $_SESSION['user'] = [
'initials' => $initials,
];
/* ---------------------------------------------------------
ERFOLGSMELDUNG + REDIRECT
--------------------------------------------------------- */
flash_set('success', 'Konto erfolgreich erstellt. Willkommen bei USBCheck!', 'login');
// Redirect-Ziel prüfen (nur interne Pfade)
// Redirect absichern: nur interne Pfade erlauben
$target = is_string($redirect) ? trim($redirect) : '/';
if ($target === '' || $target[0] !== '/') {
if ($target === '' || !str_starts_with($target, '/')) {
$target = '/';
}
$sep = (strpos($target, '?') === false) ? '?' : '&';
$target = $target . $sep . 'lang=' . urlencode($lang);
$separator = (strpos($target, '?') === false) ? '?' : '&';
$target .= $separator . 'lang=' . urlencode($lang);
header('Location: ' . $target);
exit;