nicht angemeldet
hi,
bevor der Thread ins Archiv wandert noch ne Kleinigkeit ;)
Ich habe das Sessionbasierte Loginsystem von Benjamin erweitert und in eine Funktion gesteckt, dabei kam mir der gedanke, dass die SESSION-Variable „$_SESSION['angemeldet']“ einfach nur auf True gesetzt wird; jetzt wird aber häufig in Diskussionen erwähnt, dass man doch der Session einen eindeutigen Wert zuweisen sollte, der dann möglichst per Zufall generiert werden sollte; ist dieses Script denn in seiner jetzigen Form Sicher?
Es geht nur um einen Admin-bereich, wo nur ich mich anmelden kann, aber wenn ich schon dabei bin, möchte ich es auch gleich Vernünftig machen.
Die Funktion sieht wie folgt aus:
function LoggedIn ($_connect)
{
if ($_Log = $_connect->query("SELECT username, passwort FROM cms_admin"))
while ($_Row = $_Log->fetch_assoc())
if ($_SERVER['REQUEST_METHOD'] == 'POST')
{
if (isset($_POST['username']) AND ($_POST['username'] ==$_Row['username'])
AND isset($_POST['passwort']) AND (md5($_POST['passwort']) == $_Row['passwort']))
{
$_SESSION['angemeldet'] = true;
}
else if (isset($_POST['abmelden']))
{
session_destroy();
header('Location: http://'.$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF']));
}
}
if (isset($_SESSION['angemeldet']))
return true;
else
return false;
}
mfg
--
echo '<pre>'; var_dump($Malcolm_Beck`s); echo '</pre>';
array(2) {
["SELFCODE"]=>
string(74) "ie:( fl:) br:> va:? ls:? fo:) rl:| n4:# ss:{ de:? js:} ch:? sh:( mo:? zu:("
["Meaningful"]=>
string(?) "Der Sinn des Lebens ist deinem Leben einen Sinn zu geben"
}
echo '<pre>'; var_dump($Malcolm_Beck`s); echo '</pre>';
array(2) {
["SELFCODE"]=>
string(74) "ie:( fl:) br:> va:? ls:? fo:) rl:| n4:# ss:{ de:? js:} ch:? sh:( mo:? zu:("
["Meaningful"]=>
string(?) "Der Sinn des Lebens ist deinem Leben einen Sinn zu geben"
}