Mailinglisten-Archive |
hi bei mir stehen die user mit login in der DB, nachdem der login erfolgreich abgeschlossen wurde werden die daten immer per Form ans nächste script weiitergegeben, am anfang jedes scriptes wird immer nochmal die daten auf gültigkeit überprüft. so habe ich verhindert daß man direkt auf die pages nach dem login gelangen kann ohne sich vorher einzuloggen.... sehen tust du das erg auf meiner page cu tobias ~~~~~~~~~~~~~~~~~~~~~~~~~ Webmaster of Traffic - Eye -- Das Traffic Auge deiner Webseite --- NIE wieder Links die aus TrafficGründen entfernt werden http://traffic-eye.x2.nu > Salutations! > > Ich muß mal wieder wegen meiner Login-Session-Geschichte quälen, die jetzt > soweit fertig ist. > > Ich überprüfe standardmäßig auf jeder Seite, ob eine Session-Variable > "userauth" true oder false ist. Bei true wird nach einem Timestamp-Check > der letzten Aktion die Seite ausgegeben, bei False die Login-Seite > angezeigt. > > Jetzt frage ich mich, ob es eine potentielle Sicherheitslücke ist, diese > "userauth"-Variable in Sessions zu speichern, oder ob es generell > sinnvoller ist, diese in der Datenbank zu setzen? Wenn ich das richtig > sehe, werden Sessionvariablen ja möglichst in Cookies geschrieben, aber > diese sind doch auch irgendwie verschlüsselt dort gesichert, oder? > > Gibt es eine Möglichkeit, daß der User von sich aus den Wert von > "userauth" bei einem Cookie bestimmen kann? Bei einer Datenbank kann er > das ja auf keinen Fall...? > > Oder soll ich generell bei Sessions die Cookies unterbinden und auf > SessionID-Weitergabe per URI vertrauen? > > Ich danke euch mal wieder für jede Hilfe. :-)
php::bar PHP Wiki - Listenarchive