• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Ist das so sicher genug?

Puccini

Puccini

Neues Mitglied
Hi,

für mein aktuelles Online-Spiel hab ich mir eine möglichkeit der Sicherung ausgedacht, weis aber nicht ob die so geht.

Folgendes:

auf jeder seite, welche nur für eingelogte User zu sehen sein soll, befindet sich eine Abfrage:
Code: 
/** falls der User nicht eingeloggt sein sollte, wird er auf die Willkommensseite weitergeleitet*/
if($_SESSION['login_ok']!=true)
{
    include("welcome.php");
    return;
}else
{

jede Seite (also Contentseite) wird in die Index included.
Und bei den POST- und GET-Auswertungen hab ich auch nochmals so eine Abfrage. Da werden die POSTs und GETs die für das Spiel wichtig sind in nur abgefragt, wenn login=true.

Hoffe ich konnte das etwas verständlich erklären XD
 
script sofort abbrechen und zu einer seite gehen, die keinen schaden anrichten kann.

PHP: 
<?php
session_start();

if($_SESSION['login_ok'] != true)
   {
   header('welcome.php'); //weiterleten zu einer "script-neutralen" seite
   exit(); //nachkommende anweisungen umgehend abbrechen
   }
?>

aber der grundgedanke is' richtig.

Nils aka XraYSoLo
 
danke!
SO gehts natürlich auch ;)

thx.

Und wie mach ich das dann bei dem login-seiten mit dem Post?
Da sollte ich zur sicherheit auch in jeder funktion, wo nutzereingaben erscheinen, nochmals validieren oder?
 
per session speichern und abfragen. beim ausloggen kann die session dann entweder geleert oder zerstört werden.

Nils aka XraYSoLo
 
Und wenn jemand seinen Session-ID-Cookie so lange verändert, bis er die Session eines eingeloggten Users hat? Dann ist er eingeloggt - du solltest ein else einbauen, was die IP für 10 Minuten sperrt, falls das zu oft fehlschlägt...
 
So, wie ich Sessions verstanden habe funktionieren diese eben auch nur in einer Session. Sobald der Browser geschlossen wird, geht die Session verloren. Logt sich der User neu ein, bekommt er nicht die selbe ID wieder, es steht zwar das selbe drin, aber sie lautet anders. Außerdem müsste rein theoretisch der Server Sessions nach einer gewissen Zeit löschen.

Ganz ehrlich, niemand versucht seine Session Id zu verändern, das wäre wesentlich komplizierter als nen Bruteforce Angriff auf die Loginform zu starten.
 
stimmt, die session wird nach browser-schließen mit einem vermerkt "ungültig" markiert. du kannst dann zwar mit der nochmal auf die seite zugreifen, aber wirst aufgefordert, dich neu einzuloggen.

Nils aka XraYSoLo
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben