Login systeem
Mark D
13/05/2007 11:23:00Ik heb een database met online gebruikers. Daarin zitten 4 kolommen, namelijk id, uid, lastonline en ip. In een sessie sla ik het id op uit deze tabel.
Het probleem: Als ik ergens een foutje maak door mysql_real_escape_string ofzo te vergeten en iemand kan ik mijn database klooien, dan kan hij dus het uid van zijn rij in de tabel veranderen naar het id van de admin en vervolgens heeft hij het volledige beheer van mijn site. Dat is dus niet de bedoeling.
Op welke manier moet ik mijn systeem veranderen dat dit niet zomaar kan? Nog een sessie van het een of ander opslaan ofzo?
Het probleem: Als ik ergens een foutje maak door mysql_real_escape_string ofzo te vergeten en iemand kan ik mijn database klooien, dan kan hij dus het uid van zijn rij in de tabel veranderen naar het id van de admin en vervolgens heeft hij het volledige beheer van mijn site. Dat is dus niet de bedoeling.
Op welke manier moet ik mijn systeem veranderen dat dit niet zomaar kan? Nog een sessie van het een of ander opslaan ofzo?
PHP hulp
26/04/2024 21:13:56Ponzi
13/05/2007 11:25:00Je zou een apparte tabel kunnen maken met daarin het IP-adres van de bezoeker en het session_id(). Als je ziet dat zijn session_id niet meer overeen komt met dat in de tabel, dan verwijder je zijn sessie.
Mark D
13/05/2007 11:31:00Dus eigenlijk gewoon uid ook in een sessie zetten en sessie verwijderen als ie niet meer overeenkomt met die in de tabel?