hey.

Das mit der Übersicht kann man so oder so sehen. Wenn du die Werte umkopierst, sieht man nicht mehr auf Anhieb, dass der Inhalt der Variablen, wenn sie später weiterverwendet wird, von außen kommt. Man muss sich merken, dass diese Variablen ungefilterte und ungeprüfte Werte enthält.

Achso okay...

Ich hab da schon mal was vorbereitet: </archiv/2006/8/t134653/#m873635>

Ich werds mir durchlesen. Danke.

Das ganez Funktioniert. Aber ist es sicher genug?
Sicher gegen:

• Abfangen von Userdaten

Durch wen und wobei?

Leute die unbefugten Zugriff haben wollen auf die Datei online.php.

• Fälschung der Session (verdammt wichtig)
    das sich kein Fremder einloggen kann der nicht angemeldet ist.

Im Allgmeinen sind Cookies besser gegen Weitergabe geschützt als eine URL mit angehängter Session-ID, aber manche User schalten die Keks aus, teilweise auch aus Unkenntnis über ihr Wesen.

Genau darum gehts mir ich möchte das die SID per URL weitergegeben und das so sicher wie möglich. Wie mache ich das am besten?

Ich würde User&PW aus der Datenbank auslesen, in sid per url übergeben, prüfen und je nachdem dann den Inhalt von online.php ausgeben oder auf die Startseite zurück leiten.

Andere Methoden?

Welcher Art die Daten sind, die in der DB zu liegen kommen ist nicht ganz so wichtig. Wichtiger ist, dass sie beim Eintragen, Auslesen und Weiterverarbeiten als Daten behandelt werden und nicht als ausführbaren Code. Deswegen ist es wichtig, die Daten gemäß den Regeln des Ausgabemediums zu kodieren (mysql_real_escape_string() für MySQL-Stements, htmlspecialchars() für HTML, usw. usf.)

Okay as hab ich verstanden.

Man kann verhindern, dass mehrfache Versuche uneingeschränkt gelingen, das sollte man aber wohlüberlegt angehen, da man sonst auch unschuldige Anwender aussperren kann.

Ich denke 6 versuche sind fair oder? Wie realisiere ich das am besten?

echo "$verabschiedung $name";