nuub Geschrieben 5. Dezember 2002 Teilen Geschrieben 5. Dezember 2002 also ich hab mir ein login gebastelt in ein formular wird user+pass gegeben das wird dann mit der datenbank abgecheckt und wenns passt wird in der session eine variable umgesetzt alle seiten in denen inhalt vorhanden ist, der nur für eingeloggte user dargestellt werden soll, wird dann nachgefragt ob die variable den entsprechenden wert hat... das klappt ja prima nur frag ich mich ob das sicher ist? weil ich brauch mich im grunde gar nicht einloggen sondern nur in der adresszeile hinter die seite die variable auf den wert setzen der benötigt wird um "volldarstellung" zu bekommen hab ich mir da nen griff ins klo gescriptet oder ist das ne gängige lösung? ich wüsst auch gern ob es ne möglichkeit gibt meine .php dateien nicht auszuführen sondern direkt zu downloaden. dann könnte man ja im quelltext sehr einfach herausfinden wie die variable und der entsprechende inhalt heißt... oder bin ich einfach nur paranoid? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Jaraz Geschrieben 5. Dezember 2002 Teilen Geschrieben 5. Dezember 2002 Originally posted by nuub hab ich mir da nen griff ins klo gescriptet oder ist das ne gängige lösung? Nein, du musst sicherstellen, das die Variable erst mit dem Wert aus der Session überschrieben wird, und dann deine Überprüfung auf berechtigten Zugriff stattfindet. Originally posted by nuub ich wüsst auch gern ob es ne möglichkeit gibt meine .php dateien nicht auszuführen sondern direkt zu downloaden. dann könnte man ja im quelltext sehr einfach herausfinden wie die variable und der entsprechende inhalt heißt... Wichtige Inhalte, wie Datenbank Passwörter, sollten immer in Dateien die außerhalb des Dokument root Verzeichnisses liegen notiert werden. Diese Dateien werden dann in die öffentlich zugänglichen Skripte includet. Falls nun der PHP Interpreter ausfällt, wird zwar der Inhalt der öffentlichen Dateien angezeigt, nicht aber der der include Dateien. Originally posted by nuub oder bin ich einfach nur paranoid? Paranoid nicht, falls du aber so auf Sicherheit aus bist, musst du deinen Login auch über SSL realisieren, da ansonsten der ganze unverschlüsselte Datenaustausch auf einem Proxy zwischengespeichert werden kann. Gruß Jaraz Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
beetFreeQ Geschrieben 6. Dezember 2002 Teilen Geschrieben 6. Dezember 2002 Originally posted by nuub weil ich brauch mich im grunde gar nicht einloggen sondern nur in der adresszeile hinter die seite die variable auf den wert setzen der benötigt wird um "volldarstellung" zu bekommen Das geht aber auch nur, wenn "register_globals" in der php.ini auf true gesetzt ist... - und das sollte es möglichst nicht! Wenn du allerdings in deiner Abfrage statt "if ($variable == wert)" lieber "if ($_SESSION['variable'] == wert)" schreibst, dann sollte das Problem schonmal aus der Welt sein... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.