You are not logged in.

Möglich Session-Variablen zu fälschen?

wcf.regNote.message

TheRock

Beginner

  • "TheRock" started this thread

Posts: 9

  • Send private message

1

Friday, July 20th 2007, 8:22pm

Möglich Session-Variablen zu fälschen?

Hallo
auf meiner Homepage habsch ein Login-System zusammengebastelt :D
Kenn mich leider noch nich so gut mit PHP aus und wollte deshalb fragen ob es eine Möglichkeit gibt, Session variablen zu fälschen?
Bsp: bei "normalen" Usern wird $_SESSION['rechte']=user gesetzt; beim Admin (also mir :D) $_SESSION['rechte']=admin und die Dateien, auf die nur ich Zugriff habe:
if($_SESSION['rechte']==admin)
{
bla
}
else
{
echo"kein Zugriff!";
}

Kann ein normaler user die Variable irgendwie in "admin" ändern?
thx schon mal
lg TheRock

Prometheus

Administrator

Posts: 3,278

  • Send private message

2

Friday, July 20th 2007, 8:56pm

Es gibt Mittel und Wege z.B. über XSS an deine letzte Session ran zu kommen. Deshalb immer drauf achten das alles korrekt excaped ist und auch zu keinem Zeitpunkt eine Variable mit einem Wert überschrieben werden kann der nicht vorkommen darf.

Allerdings wenn es ein vollständig selbst programmiertes Teil ist würde ich meinen kannst Du fast beruhigt sein da der jenige der das System knacken möchte zuerst mal wissen müsste was an Programmierung abläuft. Beim WBB z.B. ist klar das Lücken sofort bekannt werden da hunderte oder sogar tausende den Code haben und auch jeder der will den Code in die Finger bekommt. Von daher wird dein System schon sicherer sein selbst wenn es nicht so sicher sein sollte.
Jedwege Anfragen bitte an Technomausi oder ShaoKhan richten. Dieses Konto ist und bleibt inaktiv.

wcf.user.socialbookmarks.titel