logowanie na sesjach Opcje

[marian8]

Moje logowanie na sesjach wygląda tak że raz sprawdzam czy $form_uzyt i $form_haslo jest prawidłowe i ustawiam zmienną sesji $ses_uzyt=$form_uzyt i później tylko sprawdzam czy zmienna ta nie jest pusta.

Dopiero co zacząłem używać tego rodzaju logowania i zauważyłem że można łatwo to obejśc znając nazwę zmiennej sesji. Wystarczy ustawić tą zmienną w adresie przegladarki (.../private.php?ses_uzyt=ktokolwiek)

Jeśli macie logowanie realizowane w podobny sposób to radzę to sprawdzić

Ja swoją stronę zabezpieczyłem w ten sposób że czyszczę $ses_uzyt zanim ją zarejestruję.

[nobody]

Cos jednak nie dokonca doczytales o tych sesjach panie marian :wink: .
Zmienne sesyjne przypisujesz w ten sposob:
[php:1:4fe531289c]<?php
# na samym poczatku dokumentu musi sie znalesc
session_start();
# pozniej rejestrujesz zmienne sesyjne
$_SESSION['uzytkownik']="marian";
$_SESSION['haslo']="phpking";
?>[/php:1:4fe531289c]
Na stronie sprawdzajacej:
[php:1:4fe531289c]<?php
session_start();
# sprawdzanie czy zmienne sesyjne sa zarejestrowane
if(empty($_SESSION['uzytkownik'])||empty($_SESSION['haslo'])){
# jesli nie to przekierowujemy uzytkownika na strone logowania
header("Location: logowanie.php");
}else{
print "Witam ".$_SESSION['uzytkownik']." na mojej stronie.";
}
?>[/php:1:4fe531289c]