PHP-Loginsystem mit Sessions

[srocke]

Hallo,

ich habe eine Frage zu diesem Tutorial:
http://www.tutorials.de/forum/php-tutorials/9684-php-mysql-login-system-mit-sessions.html

Man kann doch einfach, um eingeloggt zu sein, auf seinem Server ein Script ausführen, was $_SESSION['user_id'] auf z.B. 1 setzt. Dann ist man doch eingeloggt.

Gruß
Srocke

 

[daN-the-man]

Hi scrocke!

Und was ist jetzt dabei deine Frage?

mfg
daN

 

[srocke]

Sorry, habe es vergessen zu fragen ;-)
Meine Frage war, ob diese Login-System denn überhaupt sicher ist. So wäre es ja ziemlich unsicher, da man einfach nur user_id auf 1 setzen müsste und schon wäre man eingeloggt (als Fremder).

Gruß
Srocke

 

[Gumbo]

Du meinst, durch eine Änderung der $_SESSION['user_id']-Variable auf seinem (lokalen) Server würde sich diese Einstellung auf deinen übertragen?

 

[nero_85]

Ich bin zwar ziemlich eingerostet, was PHP anbelangt, aber wenn ich mich recht erinnere, funktioniert das nicht so einfach wie du dir das vorstellst! Du darfst nicht vergessen, dass die Session auch eine Session-ID hat! Und ohne diese ID kannst du die Session nicht von einem anderen Server einfach so ansprechen und einen Wert darin ändern.

Wahrscheinlich gibt es möglichkeiten ein Login-System wie dieses zu knacken, denn hundertprozentigen Schutz gibt es nie, doch so einfach, wie du es dir in diesem Fall vorstellst ist es auch wieder nicht

cya
Nero_85

 

[Gumbo]

Sitzungsdaten lassen sich von außen gar nicht ändern. Es sei denn du bietest ein Schlupfloch in deinen Skripten oder gar ein Formular, mit denen Sitzungsdaten gezielt verändert werden können.

Was das genannte Loginsystem betrifft, ist es leider gegen SQL-Injektionen völlig ungeschützt und daher nicht zu empfehlen. Als Grundlage vielleicht schon, aber nicht als Endprodukt.

 

[worki2k1]

Ganz genau. Ich habe das Tutorial damals geschrieben da die Frage nach dem Wie immer wieder auftrat. Ich betone es noch einmal wie ich es schon in vielen PNs getan habe:

Das Tutorial soll nur zeigen wie man es generell machen kann. Es ist nicht als fertiges Script anzusehen, dass ihr nur noch bei euch einsetzen braucht! Deshalb fehlen auch jegliche Administrationstools oder sonstige Sicherheiten.

 

[Gumbo]

Das Tutorial soll nur zeigen wie man es generell machen kann. Es ist nicht als fertiges Script anzusehen, dass ihr nur noch bei euch einsetzen braucht! Deshalb fehlen auch jegliche Administrationstools oder sonstige Sicherheiten.

Vielleicht solltest du das dort noch explizit und auffällig hinschreiben, falls es dort nicht schon irgendwo steht.