Hallo,
ich plane einen Teil meiner Website nur nach Login dem User zugänglich zu machen.
Die Benutzernamen und Passwoörter sind in einer MySQL Datenbank gespeichert.
Ich plane jetzt, die Authentifizierung über eine Session laufen zu lassen. Schritt für Schritt würde das dann so aussehen:
1. Benutzer gibt Benutzername/ Passwort in ein Formular ein, welches an eine 2. Date gesendet wird
2. Die Datenbank wird nach den übermittelten Formularwerten durchsucht (Datensätze ausgeben wo Username = post[username] UND passwort = post[passwort].
-> wir mind 1 Datensatz gefunden: Session starten und Benutzername in Session registrieren
-> wird kein Datensatz gefunden: Weiterleitung zum Formular
Auf jeder zu schützenden Seite wird nun abgefragt, ob die Variable benutzername ($_SESSION["benutzername"]) in der Session vorahnden ist.
Fragen:
1. Wie sicher ist das?
2. Kann ein Session durch den Benutzer manipuliert werden, wenn ja: wie?
3. Gibt es Alternativen, Verbesserungsvorschläge?
Vielen Dank
Maresa P.