nicht angemeldet
$_SESSION Verständnisfrage
Nabend allerseits,
ich habe mal eine Verständnisfrage zur $_SESSION - Variable. Wenn ich jetzt einmalig $_SESSION['user'] und $_SESSION['pass'] festlege (nur dann, wenn vorher eine Formularabfrage festgestellt hat, dass User und Passwort richtig sind), kann man das dann noch umgehen, d.h. über die URL?
Die Abfrage sieht dann nachher so aus:
if ($_SESSION['user'] und $_SESSION['pass'])
{
für Admin
}
Wie kann ich das sicherer machen?
Danke,
Gruß
Lachgas
-
Hallo,
[...] kann man das dann noch umgehen, d.h. über die URL?
Wie meinen?
if ($_SESSION['user'] und $_SESSION['pass'])
du meinst AND bzw. && ?
Wie kann ich das sicherer machen?
Wenn nur Admins diese Session-Indizes haben können ist das "sicher"
Viele Grüße
Patrick--
"Though this be madness, yet there's method in't."
sh:( fo:| ch:? rl:( br:^ n4:( ie:{ mo:) va:} de:> zu:) fl:| js:( ss:| ls:[-
Hallo,
[...] kann man das dann noch umgehen, d.h. über die URL?
Wie meinen?
Über die URL, also z.B. index.php?user=set&pass=set. Dann sind ja die Variablen $_GET['user'] und $_GET['pass'] gesetzt. Aber die $_SESSION-Variable lässt sich so (über GET oder anders) nicht setzen?
if ($_SESSION['user'] und $_SESSION['pass'])
du meinst AND bzw. && ?
Jepp.
Gruß
Lachgas-
Hallo,
Über die URL, also z.B. index.php?user=set&pass=set. Dann sind ja die Variablen $_GET['user'] und $_GET['pass'] gesetzt. Aber die $_SESSION-Variable lässt sich so (über GET oder anders) nicht setzen?
Das ist zwar indirekt möglich, aber: Warum solltest du das tun wollen?
Viele Grüße
Patrick--
"Though this be madness, yet there's method in't."
sh:( fo:| ch:? rl:( br:^ n4:( ie:{ mo:) va:} de:> zu:) fl:| js:( ss:| ls:[-
Das ist zwar indirekt möglich, aber: Warum solltest du das tun wollen?
Ich will ja auch nur, dass der _Besucher_ dazu nicht in der Lage ist.
Gruß
Lachgas-
Hallo,
Ich will ja auch nur, dass der _Besucher_ dazu nicht in der Lage ist.
Ein Besucher sollte auf deine serverseitigen Scripte nur so viel Einfluss wie nötig und so wenig wie möglich haben.
Wo ist das Problem, die Daten im Session-Array zu halten?Viele Grüße
Patrick--
"Though this be madness, yet there's method in't."
sh:( fo:| ch:? rl:( br:^ n4:( ie:{ mo:) va:} de:> zu:) fl:| js:( ss:| ls:[
-
-
-
-
-
Na, die Sessionvariablen werden doch auf dem Server gespeichert. Da kann man sie doch nicht über die URL übergeben. Oder steh ich jetzt auf der Leitung...