AW: [php] Login + session

[florian]

> at Mon, 20 May 2002 20:51:09 +0200 Oliver Michalak wrote:
>>> Das ist doch kein Problem, du musst einfach, wenn der User sich
>>> erneut einloggt, die alte Sitzung löschen.
>>
>> Das will  man gerade nicht.
>> Den User (langfristig) an der IP festzumachen ist jedenfalls ein
>> denkbar schlechter Weg...
>
> ACK.
>
> Wie Ralph es in einer vorherigen Mail schon erwähnt hat, ist
> der beste
> Weg, nach der Validierung der Userdaten einen Schalter zu setzen, das
> der User sich erfolgreich angemeldet hat. Dabei wähle ich für
> diesen
> Schalternamen (Variabel) und den Wert jeweils einen kryptischen
> Audruck,
> den niemand so leicht erraten kann. Somit wird eine Manipulation
> deutlich erschwert. Der Wert wird wieder gelöscht, wenn der
> User z.B.
> auf Logout klickt.
>

wieso einen kryptischen wert? auf clientseite ist doch nur die sessionId
sichtbar und auf der user sollte ja wohl kein zugriff auf den server
haben, oder? ; )