DanielxK48x
Bekanntes Mitglied
Hallo,
wenn ich nach einem Loginsystem in einer SESSION Variable den Username stehen habe kann ich ja so ständig dessen Login-Status überprüfen.
Ich frage mich aber ernsthaft, ob diese Methode sicher ist.
Kann ein User es von außen irgendwie schaffen diese Variable zu überschreiben?
Wenn ja würde das ja bedeuten, dass dieser sich ohne jedes Passwort mit einem User seiner Wahl einloggen kann, indem er nur den Username in die SESSION-Variable "hackt".
Wie sicher ist denn das Ganze mit den SESSIONS und ist es vielleicht besser auch das Passwort in eine SESSION Variable zu schreiben und dieses permanent mit der SQL-DB bei jedem Seitenaufruf zu vergleichen?
Oder ist die Methode des Usernamen zu speichern die beste bzw. üblichste Variante?
Wäre schön wenn sich der eine oder andere dazu mal äußert.
wenn ich nach einem Loginsystem in einer SESSION Variable den Username stehen habe kann ich ja so ständig dessen Login-Status überprüfen.
Ich frage mich aber ernsthaft, ob diese Methode sicher ist.
Kann ein User es von außen irgendwie schaffen diese Variable zu überschreiben?
Wenn ja würde das ja bedeuten, dass dieser sich ohne jedes Passwort mit einem User seiner Wahl einloggen kann, indem er nur den Username in die SESSION-Variable "hackt".
Wie sicher ist denn das Ganze mit den SESSIONS und ist es vielleicht besser auch das Passwort in eine SESSION Variable zu schreiben und dieses permanent mit der SQL-DB bei jedem Seitenaufruf zu vergleichen?
Oder ist die Methode des Usernamen zu speichern die beste bzw. üblichste Variante?
Wäre schön wenn sich der eine oder andere dazu mal äußert.