Citat:
Originally posted by zoran@Jul 8 2004, 08:25
Exempel: Om jag, för att markera att en användare är inloggad sätter $_SESSION['loggedin'] = "true"; med register_globals off, så kan inte "surfaren" komma åt den variabeln för att sätta den och gå förbi authenticeringen.
Använder jag register_globals och inte använder $_SESSION[''], och varje $_POST['foo'] eller $_GET['foo'] blir istället $foo automatiskt, så kan användaren göra helt enkelt http://www.example.com/mittscript.php?loggedin=true för att sätta min autenticeringsvariabel.
/Zoran
|
Jag säger inte emot dig, jag håller med om att globals ska vara off, men riktigt så enkelt är det inte för användarna.
Hur ska en användare veta att det är just variabeln "loggedin" som ska sättas till true?
Vad jag menar är att sessionvaribaler är gömda och att man inte kan få reda på variabelnamnen utan måste gissa, så vitt jag vet i alla fall.