ab die maus

src/auth/login.php

@@ -1,29 +1,34 @@
 <?php
-// public/auth/login.php
-
-
+// src/auth/login.php
+// wird durch public/auth/login.php aufgerufen
 
+// Nur POST zulassen
 if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
-    // Direktzugriff per GET → einfach zurück zur Login-Seite
     $lang = $_GET['lang'] ?? 'de';
     header('Location: /login/?lang=' . urlencode($lang) . '&view=login#auth');
     exit;
 }
 
-// Daten einsammeln
+// Basis-Setup: Session, $pdo, flash_*, Config etc.
+require_once __DIR__ . '/../../config/fileload.php';
+
+// Form-Daten einsammeln
 $lang     = $_POST['lang'] ?? 'de';
 $email    = trim((string)($_POST['email'] ?? ''));
 $password = (string)($_POST['password'] ?? '');
 $redirect = $_POST['redirect'] ?? '/';
 
-// Minimale Validierung
+// Minimal-Validierung
 if ($email === '' || !filter_var($email, FILTER_VALIDATE_EMAIL) || $password === '') {
     flash_set('error', 'Bitte E-Mail-Adresse und Passwort eingeben.', 'login');
     header('Location: /login/?lang=' . urlencode($lang) . '&view=login#auth');
     exit;
 }
 
-// Annahme: $pdo ist in fileload.php / db.php gesetzt (PDO-Instanz)
+/* ---------------------------------------------------------
+   USER LADEN
+--------------------------------------------------------- */
+
 try {
     $stmt = $pdo->prepare('SELECT * FROM users WHERE email = :email LIMIT 1');
     $stmt->execute([':email' => $email]);
@@ -41,20 +46,27 @@ if (!$user) {
     exit;
 }
 
-// Account gesperrt?
+/* ---------------------------------------------------------
+   ACCOUNT GESPERRT?
+--------------------------------------------------------- */
+
 if (!empty($user['is_locked'])) {
     flash_set('error', 'Dein Konto ist gesperrt. Bitte kontaktiere den Support.', 'login');
     header('Location: /login/?lang=' . urlencode($lang) . '&view=login#auth');
     exit;
 }
 
-// Passwort prüfen
+/* ---------------------------------------------------------
+   PASSWORT PRÜFEN
+--------------------------------------------------------- */
+
 if (!password_verify($password, $user['password_hash'])) {
-    // Fehlversuche hochzählen (optional)
+
+    // Fehlversuche hochzählen
     try {
         $failed = (int)($user['failed_logins'] ?? 0) + 1;
+        $lock   = 0;
 
-        $lock = 0;
         if ($failed >= 5) {
             $lock = 1;
         }
@@ -66,7 +78,7 @@ if (!password_verify($password, $user['password_hash'])) {
             ':id'     => $user['id'],
         ]);
     } catch (Throwable $e) {
-        // Ignorieren, Login-Fehler reicht
+        // Nicht kritisch, Meldung reicht
     }
 
     $msg = 'E-Mail oder Passwort ist falsch.';
@@ -79,7 +91,10 @@ if (!password_verify($password, $user['password_hash'])) {
     exit;
 }
 
-// Passwort korrekt → Fehlversuche zurücksetzen & letztes Login speichern
+/* ---------------------------------------------------------
+   PASSWORT KORREKT → FAILED_LOGINS RESET + LAST_LOGIN
+--------------------------------------------------------- */
+
 try {
     $upd = $pdo->prepare('UPDATE users SET failed_logins = 0, last_login_at = NOW() WHERE id = :id');
     $upd->execute([':id' => $user['id']]);
@@ -87,12 +102,10 @@ try {
     // Nicht kritisch für den Nutzer
 }
 
-// Session füllen
-if (session_status() !== PHP_SESSION_ACTIVE) {
-    @session_start();
-}
+/* ---------------------------------------------------------
+   SESSION FÜLLEN
+--------------------------------------------------------- */
 
-// Initialen bauen
 $firstName = $user['first_name'] ?? '';
 $lastName  = $user['last_name'] ?? '';
 $initials  = '';
@@ -118,16 +131,19 @@ $_SESSION['user'] = [
     'initials'   => $initials,
 ];
 
-// Flash für „Willkommen“
+/* ---------------------------------------------------------
+   FLASH & REDIRECT
+--------------------------------------------------------- */
+
 flash_set('success', 'Willkommen zurück, ' . ($user['first_name'] ?: 'User') . '!', 'login');
 
-// Redirect-Ziel prüfen (nur interne Pfade erlauben)
+// Redirect absichern: nur interne Pfade
 $target = is_string($redirect) ? trim($redirect) : '/';
-if ($target === '' || $target[0] !== '/') {
+if ($target === '' || !str_starts_with($target, '/')) {
     $target = '/';
 }
 
-// Sprache ggf. anfügen, wenn noch nicht als Parameter vorhanden
+// Sprache anhängen
 $sep    = (strpos($target, '?') === false) ? '?' : '&';
 $target = $target . $sep . 'lang=' . urlencode($lang);