F
freddymc
Hi!
Ich baue ein kleines Login Script in php. Das ganze wird mit sessions realisiert:
Anstatt für jede Neue Funktion im System eine neue Datei anzulegen, will ich nur noch eine index.php, in der die session gestartet/geprüft wird, verwenden. Die ganzen anderen werden einfach nach Abfrage von $_GET entsprechend in index.php includet.
Nun tritt natürlich ein Sicherheitsproblem auf: Ich kann nun die versch. funktion.inc.php per URL aufrufen ohne mich eingeloggt zu haben...
Wie soll ich das jetzt lösen?
Sicherhreitstechnisch bin ich noch nicht so bewandert...
Hoffe ihr könnt mir hier weiterhelfen
Fred
Ich baue ein kleines Login Script in php. Das ganze wird mit sessions realisiert:
PHP:
session_start();
if(!session_is_registered('user') || $_SESSION['user'] == "") {
header("location:../index.php");
die;
}
Nun tritt natürlich ein Sicherheitsproblem auf: Ich kann nun die versch. funktion.inc.php per URL aufrufen ohne mich eingeloggt zu haben...
Wie soll ich das jetzt lösen?
- Verzeichnis per .htaccess sichern,
- session-Start/Überprüfung nur in den includes,
- session-Start/Überprüfung sowohl in den includes, als auch in der index.php,
- session-Start/Überprüfung in einem eigenen include, welches in JEDER Datei per require_once eingebunden wird,
- mein Ansatz ist Bullshit.
Sicherhreitstechnisch bin ich noch nicht so bewandert...
Hoffe ihr könnt mir hier weiterhelfen
Fred