[php] Wiedermal Session

[Jörn Grube]

Christian Flothmann schrieb:
> Jörn Grube schrieb:
>> Christian Flothmann schrieb:
>>> Sebastian Mendel schrieb:
>> Darum geht es ja. Auf der Login-Seite (schon bei deren Aufruf), will ich 
>> nur wissen, ob überhaupt jemanden eingeloggt ist. Wer das dann ist, 
>> interessiert mich gar nicht.
> 
> Soweit hatte ich das verstanden.
> 
> Aber: Du kannst ja nicht verhindern, dass trotz allem jemand versucht, 
> die logingeschützte Seite direkt aufzurufen. Das heißt, dass dort eben 
> doch session_start() aufgerufen wird, um zu schauen, ob der anfragende 
> Benutzer auch tatsächlich eingeloggt ist.

Dafür (bzw. dagegen) wird beim Login ein Cookie (Ablaufzeit = 
Sendelänge) gesetzt. Wer also nicht korrekt über die Login-Seite kommt, 
hat das Cookie nicht und wird wieder rausgeworfen, bevor er die 
"entscheidende" Seite (mit den Grüßen) zu sehen bekommt. Ok, birgt auch 
einen kleinen Unsicherheitsfaktor, aber ich habs hier eben nicht mit 
Profis und hochsensiblen Daten zu tun, dass sollte also als Sicherheit 
genügen.

Liebe Grüße Jörn