Nou dat nou ook weer niet, het gaat me vooral om de bestanden class_sapphire.php en class_session.php of er geen veiligheidsgaten inzitten. Andere mensen kunnen dat meestal beter zien dan de maker.
Misschien heeft niet iedereen PHP op zijn pc geinstalleerd en moet men het dus eerst uploaden naar eigen server -> Kortom: Dump het spul ff op je eigen server en post hier een linkje.
Marco, PHP evalueert van boven naar beneden, op het moment dat het bij de if komt is de klasse session nog niet aangemaakt ( als het goed is) zodra het de if passeert ziet PHP pas dat er een klasse session word aangemaakt.
Verder zijn de cookies nodig voor de manier waarop mijn "sessies" werken, al denk ik dat ik daar alle veiligheidslekken uit heb gehaald, dat was ook mijn vraag al stelde ik die niet duidelijk: zitten er veiligheidslekken in de manier waarop ik mijn sessies heb geimplementeerd?
En ik zal wel een voorbeeldje online zetten, alleen meer dan 7 regels text zal er niet op het scherm komen :/
Nou ik encrypt alles en ik bind de sessie aan een computer vast met een cookie, in de cookie staat de vaste info van de ingelogde gebruiker gehashed, en in de database staat hetzelfde. Komt het overeen EN kan ik de exact dezelfde hash weer namaken met de info die ik van de gebruiker heb verzameld dan pas is het een geldige sessie. Een boel gedoe was dat iig. Invision Power Board gebruikt een soortgelijke methode om cookies veilig te houden.
Je kunt gaan kloten met een cookie wat je wilt, maar deze zal nooit en te nimmer veilig zijn. De user kan er mee kloten, een andere user kan er mee kloten, kan onderweg worden onderschept, etc. etc. Vergeet het begrip 'veiligheid' bij cookies, dat bestaat namelijk niet.
