Quitschibo: -> Apache::Session::MySQL -> Variablen sicher übergeben

Beitrag lesen

Hi,

ganz einfach... wieso verwendest du nicht ganz einfach eine SessionID anstatt der echten ID... das ist a) sicherer, b) sinnvoller und c) effektiver... und das beste ist, fuer den User ist es nicht ersichtlich was diese ID die er sieht bedeutet.

Kleine Anleitung dazu:

du kreierst nach dem Login des Users eine ca. 18-20 stellige Nummer, am besten ueber zwei randomizer (so mach ich das)... so, die packst du jetzt, zusammen mit der echten ID und eventuellen weiteren Daten, in deine DB... die SessionID haengst du jetzt einfach an jede URL intern mit dran und fertig. Der User ist immer eindeutig identifiziert und kann mit der ID die er da hat garnichts anfangen... die Chance das er naemlich eine andere aktive ID erraet ist schon bei 10 Stellen sehr sehr gering... bei 18 eruebrigt sich dann jedes raten :))

Hoffe ich konnte dir weiterhelfen.

CU Quitschi