Hello,

Also man hat ein Forumular.
Dort gibt man Username + PW an. Das wird dann überprüft

Das sind ZWEI Schlüssel.

Nun startet die Session und Du hast nur noch EINEN Schlüssel. Einen Schlüssel kann man aber raten, ohne dass das Programm das erkennen kann. Wie hoch die Wahrscheinlichkeit ist, dass dieser Schlüssel erraten wird, dafüber gibts hier dutzende Threads. Aber es ist zumindest theoretisch unsicher.

Beim Zweischlüsselverfahren kann man die Fehlversuche für das Erraten des Paares unter einem der beiden Schlüssel ablegen. Das ist meistens der Loginname. Wenn mehr als z.B. drei Fehlversuche stattgefunden haben, kann man das Login z.B. für eine halbe Stunde oder sogar ganz sperren.

Damit keiner Schindluder treibt, sollte man auch Loginnamen wie Passwörter behandeln.

if(//Alles OK)
{
session_register('zaehler');

Diese Funktion sollte man seit PHP 4.1.x nicht mehr verwenden.

$zaehler = "User"; //Nur ein Beispiel
}

Später überprüfe ich das dann wieder:

if(session_is_registered('zaehler'))
{

if($zaehler=="User")
{
//Alles OK
}

}

Ist das Sicher oder kann man das ganz einfach überbrücken?

Nein, das ist nicht sicher. Ja, das kann man überbrücken, indem man die richtige Sessionnummer errät oder einfach aus dem Script ausliest (bei TRANS_SID = 1).

"Sicher" ist nur ein Zweischlüsselverfahren, bei dem bei jedem Zugriff die Login-Rechte aufs Neue geprüft werden.

Grüße

Tom