sessie foutje ?

Door maarten heijden op 24-04-2011 20:02

1.353 views


<?php
@session_start();

$postnaam= $_POST['naam'] ;
$postwachtwoord= $_POST['wachtwoord'] ;
$postrang= $_POST['rang'] ;

$_SESSION['naam'] = "$postnaam"; 
$_SESSION['postrang'] = "$postrang"; 

include"stats/statscontrol.php";

?>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>goed</title>
<meta http-equiv="refresh" content="3;url=http://www.uploadwerk.v3host.nl/leden.php" />
</head>
<body>
<?php
if(isset($_SESSION['naam']))
{
echo"sessie aangemaakt!";?>
je wordt binnen <b>7</b> seconden doorgestuurd
<?php
} else{ include"index.php";
}
?>

</body>
</html>

de $_POST's worden via een hidden field verstuurd,

het probleem is dat ik $_SESSION['postnaam'] wil laten showen met echo'tje

maar ik krijg daarbij niks terwijl het menu wel met postrang werkt en de sessie wordt wel gestart

Write Down

24-04-2011 20:16

Mijn ogen zien brakke en onveilige code.

Waarom zet je in godsnaam quotes rond je variabelen?


<?php
$_SESSION['naam'] = $postnaam;
?>

Verder heb ik een leuk ideetje.


<form method="post" form="http://jouwsite.ext/login.php">
<input type="text" name="naam" value="gebruikersnaam_dat_ik_geregistreer" />
<input type="text" name="wachtwoord" value="wachtwoord" />
<input type="text" name="rang" value="admin" />
</form>

Met bovenstaand stukje code kan ik mezelf dus admin maken.

maarten heijden

24-04-2011 20:18

het is een privé-systeem en niet eentje waar 100 mensen opgaan :)

Write Down

24-04-2011 20:20 gewijzigd op 24-04-2011 20:22

//care
Dit is gewoon kei simpel om te attaqueren. Je systeem staat online, het is dus niet lastig.

Overigens is het gewoon kei eenvoudig om het op te lossen.
<?php
$_SESSION['rang'] = $row['rang'] //database dus

/* Trouwens, een rang zet je eigenlijk zelfs niet in een sessie, maar dat haal je gewoon telkens uit de database wanneer je het nodig hebt */
?>

Reageren

Inloggen om te reageren