Hello Jürgen,

Aber unabhängig vom Rechteändern und Rausschmeißen (was worklich sehr gut funktioniert...ich habe Dein System mal für mich umgesetzt: Ist das System ansonsten nicht genauso sicher/unsicher, wie das über eine einmal angemeldete $_SESSION['logstat']??

Wenn eine Session entführt werden kann, also auf die Sessiondatei auch durch Fremde zugegriffen werden kann, ist das Ganze sehr unsicher,w enn man nur auf die Sessiondatei baut. Es ist nur ein Erfahrugnswert, aber ein unerlaubter Zugriff auf die Datenbank ist bei allen von mir untesuchten Standardeinrichtungen sehr viel schwerer oder sogar unmöglich. Er setzt schließlich sowphl den Missbrauch (unerlaubten Zugriff) auf das Script meit den Verbindungsdaten, als auch auf das Auswertescript voraus, bzw. überhaupt Zugriff auf die Scripte.

Eine Änderung eines einzelnen Datenwertes in der Sessiondatei ist dagegen schon sehr leicht abzubulden. Ich würde mich freuen, wenn sich auch noch Andere an der Diskussion dazu beteiligen würden.

Es gibt außerdem auch in Scripten "sichere Formulierungen" und "unsichere Formulierungen". Das jetzt hier aus dem Stand zu diskutieren, schaff ich gerade nicht. Aber man kann in einem Script die Sciherheitsabfragen so formulieren, dass es nicht ausreicht, an einer einzigen Stelle einen einzigen booleschen Wert umzuschubsen, um die Manipulation durchlaufen zu lassen.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg