indy Newcomer
Angemeldet: 02.02.2005 Beiträge: 8
|
Verfasst am: 28.08.2005, 17:06 Titel:
Sessions als Sicherheitslücke? |
|
|
|
|
Huhu Community
Ich habe eine Frage... Also ich code grad ein CMS was ich bei meinen Projekten verwenden will. Ich will das Loginsystem mit Sessions machen, in allen Scripts die geschützt werden sollen, steht (etwa^^):
Code: |
if($_SESSION["loggedin"] == 1) {
echo "content";
} else {
echo "möp :P";
}
|
Wenn sich jemand auf seiner Page als Admin einloggt wird die Variable $_SESSION["loggedin"] gesetzt. Was is aber wenn dieser eingeloggte Jemand jetz auf eine andere Page, die ebenfalls mit meinem CMS gemacht wurde, geht?
Dann ist ja auf dieser anderen Seite, wo er eben nicht Admin ist, $_SESSION["loggedin"] auch gesetzt, d.h. er kann den Adminbereich betreten und Unfug anstellen.
Ist das so? Ich hab leider nur einen vServer wo ich das testen konnte...
Danke schonmal
MfG IndY |
|
unex`9dots Administrator
Angemeldet: 02.08.2003 Beiträge: 1106 Wohnort: Karlsruhe Interessen: Coding, Segeln, Schwimmen, PC
|
Verfasst am: 28.08.2005, 17:18 Titel:
|
|
|
|
|
Die Sessiondaten und somit auch die Sessionvariablen werden auf dem jeweiligen Server abgelegt... wenn du jetzt also auf deiner seite eingeloogt bist, liegt die Variable auf deinem Server.
Wenn du jetzt auf eine andere seite gehst kann er die Variable nicht auslesen, da sie ja nur auf deinem server liegt und nicht auf deinem Client. |
|