Hallo!

Wenn man jetzt mit der PHPSESSID eine andere Seite auf dem Server besucht hatte, so wurde die URL (ink. SID) in einen Logfile gespeichert.

Jeder konnte dann die PHPSESSID sehen und sich so ins Admin Menü einklinken.

Eigentlich einfach, oder?

Man kann auch in der Session ein Timestamp packen. Man vergleicht bei jedem Auftruf den Timestamp + Zeitdifferenz (in der nichts passiert ist). Ist man über der Zeitdifferenz geht es zum Login. Desweiten sort man dafür, d?ß die Sessiondateien ordentlich gelöscht werden.

MfG, André Laugks