Moin
ich bin gerade draufgekommen, dass aktivierte register_globals ja ein extrem Sicherheitsloch sind. Ich habe bei einem Loginsystem eine Variable gesetzt, wenn der User sich eingeloggt hat, ein Gast hatte diese Variable also nicht. Auf manchen Seiten habe ich teilweise abgefragt ob diese Variable gesetzt ist, was man natürlich auch machen konnte indem man sie an die URL gehängt hat. Voll dangerous! 8o

Jedenfalls will ich das jetzt natürlich sofort ändern und habe mir überlegt, dass ich abfrage ob eine Variable in der $_SESSION gesetzt ist. Ist das sicher oder kann man auch irgendwie ?_SESSION['user'] an die URL hängen?

Gruß, Sam