Hi,

ich habe ein Internet-Portal bei dem sich Benutzer per Login anmelden. Jeder Nutzer hat dabei eine eindeutige ID welche in einer Datenbank gespeichert ist. Damit sich der User gegenüber den verschiedenen Seiten authentifizieren kann, wird die User-ID nach korrekter Eingabe des Benutzernamens und des Kennworts als Variable in der aktuellen Session registriert. Und hier liegt auch mein Problem. PHP legt ja eine Session-Datei an, welche im temp-Verzeichnis des lokalen Rechners gespeichert wird. Es ist nun natürlich ein leichtes, diese Session-Datei zu editieren und zum Beispiel einfach eine andere User-ID einzutragen um das System zu täuschen. Wie kann man dieses Problem aus der Welt schaffen?

Gruss,
Koontz

Redest du von Cookies oder Sessions? Sessions werden serverseitig gespeichert. Cookies clientseitig. Die serverseitigen Sessions sind nicht von einem User veränderbar.

Hm, dann hat sich das Problem ja erledigt :-)
Ich dachte, die Session-Dateien werden auch lokal auf der Platte des Users gespeichert.