[orreborre]

Hur säkra är egentligen sessions?
Går det på något sätt att "fejka" en sessionvariabel för att t.ex. få mer rättigheter på en sida?

Ex.
Om man på en sida har en sessionvariabel: $_SESSION['admin'] som är 0 för vanliga anvädare och 5 för administrator, kan man på något sätt, kanske via ett textfält, sätta sin egen variabel till 5 genom att skriva t.ex. '; $_SESSION[admin]=5; ?

Jag undrar om någon har stött på något problem med sessions genom detta sätt?

Jag kontrollerar all indata i som användaren skriver i textfält så det borde inte gå, men det kanske finns något annat sätt man kan "fejka" sin status?

Mvh

[melin]

på "A" säger vi "nej" och på "B" säger vi "det är bara servern som kan skapa och läsa en session variabel - klienten har ingen tillgång till dom alls"

[Anders]

Här kan du läsa om sessions i PHP.

[orreborre]

Jag kan mycket om sessions, men inte riktigt hur man kan manipulera värden via textfält.

Tack för era svar.

[ZN]

Du ska se till att register_globals = Off i PHP.ini för det första, det ökar säkerheten och då
ska du inte kunna exploita genom querysträngen genom typ att lägga till ?admin=5, förutsatt
att du förståss inte använder $_GET['admin'] i koden.

Sen beror det helt på hur du ställer in att sessionerna ska fungera, väljer du att stänga av sessioncookies
helt och aktivera session.use_trans_sid istället så skickar ju sessionsID med i varje länk...

Annars gäller ju den enkla regeln att alltid kontrollera indata, så att man får vad man är ute efter.