session + login, die dritte

[XraYSoLo]

abend,

jaja, ich weiß, ich nerv' langsam damit, nur mir ist ein kleiner gedankenblitz gekommen. ihr kennt ja mein problem mit den sessions und den werten, die nicht aus der db geholt werden (können). meine lösung:
die e-mail-adresse (gleichzeitig anmeldename) direkt als $_POST['value']; übergeben und in die session schreiben, anstatt sie aus der db zu holen. meinen überlegngen nach können keine sicherheitslücken entstehen, da ja der login und die registrierung der session nur in verbindung mit dem passwort vollzogen werden. wäre dagegen was einzuwenden, oder ist mein vorschlag empfehlenswert?

Nils aka XraYSoLo

 

[Ben]

Was genau willst du denn damit erreichen?

Sollten mir Vorkenntnisse fehlen (nein, ich weiß nicht, was in den zwei Threads zuvor dein Problem war) dann klär mich kurz auf. :)
Danke.

 

[XraYSoLo]

also schau:
der user soll ja nicht nur einfach im internen bereich drin' sein, sondern auch was machen können (seine daten editieren, passwort ändern usw.). dazu muss entweder die id oder die e-mail zur verfügung stehen (die mail ist primärschlüssel), da ich ja einen der vorhandenen werte (hier eben die mail) als eindeutigen wert für die sql-abfragen verwenden muss und sicher gehen kann, dass der user nur im stande ist SEINE EIGENEN daten zu ändern.
kurz: die e-mail-adresse muss zur verfügung stehen.
das wars ja auch schon. ich wollte nur wissen, ob da irgendwelche sicherheitsrisiken entstehen könnten, wenn ich sie NICHT aus der db hole und in die session einbinde, sondern aus dem feld für den usernamen und dann die session damit registriere.

in etwa so:

		/* User-spezifische Daten zur Session hinzufügen */
		$user_int = mysql_fetch_array($result) or die(mysql_error());
		$_SESSION['id_isisql2'] = $user_int->id_isisql2;

/*das hier meine ich*/        
$_SESSION['mail_isisql2'] = $_POST['mail_isisql2'];

und NICHT (weils ja nicht geht) so:

		/* User-spezifische Daten zur Session hinzufügen */
		$user_int = mysql_fetch_array($result) or die(mysql_error());
		$_SESSION['id_isisql2'] = $user_int->id_isisql2;
        
/*das hier funktioniert halt irgendwie nicht*/
$_SESSION['mail_isisql2'] = $user_int->mail_isisql2;

so, hoffentlich sind jetzt alle unklarheiten beseitigt ;-).

Nils aka XraYSoLo

 

[Ben]

Zusammenfassend:
Ein User loggt sich mit Passwort und Mailadresse ein. Du willst die Mailadresse jetzt nicht aus der DB holen, sondern direkt aus dem Loginformular in die Session speichern.

Stimmt?

Kannste logischerweise machen. Mach ich auch so. Ich lese den Usernamen auch nicht extra nochmal aus. Ist ja unnötig, da du ihn bzw. in deinem Fall sie ja schon hast.

Vorgehensweise:
-User gibt Daten ein
-Du überprüfst, ob der User in den Bereich rein darf
--- ja: mailadresse in session rein, in session vermerken, dass der user eingeloggt ist
--- nein: zurück zum loginformular

Beantwortet das deine Frage? :)

Grüße, Ben.

 

[XraYSoLo]

exakt das! danke!

Nils aka XraYSoLo