hab ein kleines Problem: Wenn sich ein User eingellogt hat, wird eine session auf den Username registriert. Auf den einzelnen Seiten wird geprüft, ob die Session vom über die URL übergebenen Username registriert ist.
Warum übergibst Du den Namen in der URL, wenn er schon in der Session steht? Das ist doch doppelt gemoppelt und öffnet außerdem eine potentielle Angriffsfläche, wie Du schon selbst erkannt hast:
Wenn sich ein User eingeloggt hat und ein anderer User gibt als Username nach dem einloggen in der URL den schon registrierten -username an, wird er dann als eingellogt betrahctet?
Wie meinst Du das? Du vergleichst doch den Namen aus der URL mit dem aus der Session, oder nicht? Oder speicherst Du etwa in Deiner Session nur den Wert "ja, ist eingeloggt", holst Dir aber alle anderen Daten über die URL? Das wäre -mit Verlaub- wirklich extrem dumm, die Begründung hast Du oben selbst geliefert.
(Die Sessionb ist ja registriert, bloß auf einem anderen Computer)
Sofern Du nicht an den Einstellungen gespielt hast oder eine Eigenkonstruktion verwendest, wird eine Session über einen seeeeeehr langen Wert identifiziert, nicht über irgendwelche Daten, die in der Session gespeichert wurden.
Es kann also nur jemand eine Session klauen, wenn er sich diese Datenkette erspäht.
Gruß,
soenk.e