logowanie na sesjach Opcje

[marian8]

Moje logowanie na sesjach wygląda tak że raz sprawdzam czy $form_uzyt i $form_haslo jest prawidłowe i ustawiam zmienną sesji $ses_uzyt=$form_uzyt i później tylko sprawdzam czy zmienna ta nie jest pusta.

Dopiero co zacząłem używać tego rodzaju logowania i zauważyłem że można łatwo to obejśc znając nazwę zmiennej sesji. Wystarczy ustawić tą zmienną w adresie przegladarki (.../private.php?ses_uzyt=ktokolwiek)

Jeśli macie logowanie realizowane w podobny sposób to radzę to sprawdzić

Ja swoją stronę zabezpieczyłem w ten sposób że czyszczę $ses_uzyt zanim ją zarejestruję.

[marian8]

php - Kompendiu (Autor bliżej nieznany)

Wydruk 7.1. Uruchamianie sesji i inicjowanie zmiennych
<?php
session_start();
session_register( "aUser", "aAccount" );
$aUser = "Cidnie";
$aAccount = "1016";
?>
<html>
<head>
<title>Podstawy sesji: Strona 1</title>
</head>
<body>
<?php
print( "Użytkownik: $aUser<br>" );
print( "Konto: $aAccount<br>" );
?>
<br><br>
<a href="listing2.phtml">Przejście do strony 2</a>
</body>
</html>


Wydruk 7.2. Użycie zmiennych sesji z wydruku 7.1
<?php
session_start();
?>
<html>
<head>
<title>Podstawy sesji: Strona 2</title>
</head>
<body>
<?php
print( "Użytkownik: $aUser<br>" );
print( "Konto: $aAccount<br>" );
?>
</body>
</html>

i tak również to działa
No przez $_SESSION[] to już chyba problem znika zupełnie...

PS. Z tym phpkingiem to nie przesadzajmy - dopiero się uczę :wink: