Uwe: suche Hilfe bei DB-Abfrage - MySQL

Beitrag lesen

Hallo!

Trotzdem muss ich doch aber eine Gegenprüfung bzgl. der Benutzergruppen/-rechte durchführen. Oder nicht? Ansonsten könnte der Client seinem Cookie doch z.B. einfach eine Gruppe hinzufügen. Das hat dann nichtmal was mit Session-Diebstahl zu tun. Oder versteh ich da was falsch?

Ja. Öffne eine Session, schreib ein paar Werte hinein. Mach einen zweiten Request, schau nach, ob die Werte noch da sind. Schau dir nun im Browser die Cookies an. Was siehst du? Nur die Session-ID. Wenn man nicht nur die Session-ID sondern auch alle Daten ständig zwischen Client und Server hin- und hersendete, bräuchte man den Session-Mechanismus nicht, das ginge mit einfachem GET/POST/COOKIE, wobei GET und Cookies den Nachteil der De-Facto-Größenbeschränkung haben.

Sorry, ich steh schon wieder auf dem Schlauch :(
Was bedeutet das jetzt für mich? Also kommen die Gruppendaten in die Session und die Session-ID wird dann, je nach Einstellung, als Cookie übertragen, die Gruppendaten stehen aber nicht dort drin und sind deshalb auch nicht manipulierbar?

Entschuldigung, dass ich grad ein Brett vor dem Kopf habe aber mir brummt der Schädel :)

Uwe