Hallo Tom,

Eine Session stellt keinen Schutz für eine Seite dar.

Gleich zur Liste meiner Lieblingszitate aus dem SELFForum hinzugefügt. Diese Tatsache war nämlich für mich so offensichtlich, dass es mir nie in den Sinn gekommen wäre, sie zu erwähnen.

Hmmmm, so offensichtlich find ich das nicht. Wenn ich daten über eine session schütze, also zb über nen login system relevante daten in der session speichere wie kann dann jemand anders daran kommen ?

Die frage habe ich mir kürzlich auch gestellt, wie sicher sind session eigentlich?
Ich meine ich versuche nicht nen hochsicherheits bereich auf meiner seite zu erstellen, aber eigentlich will ich nicht das x-belibige "hacker" auf diese daten zugreifen kann...

also login per formular, daten check aus msqldb, wenn ok dann session_start().
dann kann man doch eigentlich _nur_ als eigeloggter user zb. im forum posten wenn ich das so will ?
wieder ein beispiel:
if ( $_GET["action"] && $_GET["action"] == "update_user" && $_POST["id"] == $_SESSION["id"]) { ... }

damit könnte nur der sein daten verändern der sie verändern soll oder ?
in dem fall seine eigenen daten ändern, in dem in einem hidden field die id übergeben wird...

Bin ich aufn falschen dampfer?

Mfg Analpha