Hallo zusammen!

Auch in diesm Zweig meines Themas erst einmal ein VORLÄUFIGES DANKESCHÖN an alle, die mir bisher versucht haben meine Fragen zu beantworten. Ich werde aber noch in der einen oder anderen Sache nachhaken. :)

Weitergabe des Logzustands mithilfe eines Formulars und eines versteckten Feldes
    <form name="form" method="POST">
    <input type="hidden" name="login" value="yes">
    </form>

NOK. Wie ich es vermutet habe, das ist katastrophal!
Du musst *umbedingt* login *und* passwort übergeben! - Ansonsten muss
ein Angreifer nur den Login erraten und das ist nicht sehr schwierig.

Ich glaub nicht, daß man das Login so leicht erraten kann. Da die tatsächlichen html Seiten ja serverseitig mit php aufgebaut werden, befindet sich das hidden-Feld ja nur auf der Seite und kann von jedermann gefunden werden, wenn man sich tatsächlich erfolgreich eingeloggt hat. Die Werte für "name" und "value" des hidden-Feldes werden zufällig erzeugt ("unsinnige Werte") und in der Datenbank abgelegt, die Weitergabe dieser Werte entspricht damit im Prinzip der Weitergabe von Login und Passwort (und Überprüfung).

Wie werden die Daten einer Session übertragen?

Wie leicht kommt man an die Daten der Datenbank? Kann ich die Informationen an einer anderen Stelle auf dem Server ablegen?

Thomas