• Jetzt anmelden. Es dauert nur 2 Minuten und ist kostenlos!

Sind Variablen und Cokkies manipulierbar?

H

hansi3000

Neues Mitglied
Da ich vllt. die Rechte verschiedener Personen in Variablen oder Cokkies speichern möchte, habe ich mich gefragt ob die Leute die Variablen manipulieren können, so das sie auf einmmmal Administrator sind! Was würdet ihr mir da mehr empfehlen, Cookies oder Variablen?
 
Hallo,

Cookies sind manipulierbar.
Variablen kommt draufan, wenn du sie per GET ausliesst, musst du ggf. SQL Injection & PHP Injection sperren (gilt auch für POST).

Für SESSION sind eigentlich nicht direkt manipulierbar.
 
wenn du die rechte eh dauerhaft speichern möchtest dann am besten in einer session (was für eine art von session ist aber dir überlassen)
 
Es *könnte* zu Problemen führen, solche Daten in Sessions abzulegen. Folgendes Szenario:

- User1 loggt sich ein und bekommt das Recht, Beiträge zu schreiben, in die Session geschrieben.
- Administrator entzieht User1 das Recht, Beiträge zu schreiben.
- Da das Recht noch bei User1 in der Session steht, behält er es aber solange, wie die Session aktiv ist (mehr oder weniger bis zum Schließen des Browser).

Das lässt sich zwar beheben, aber die Synchronisation könnte bei einfachen, dateibasierten Sessions etwas knifflig werden.

Im Normalfall würde ich empfehlen, lediglich ein unveränderliches Merkmal (die Nutzer-ID bietet sich an) in der Session abzulegen und alle daraus abgeleiteten Daten bei jedem Request (oder bei Bedarf) neu zu ermitteln.

PS: Für die persistente Speicherung von Daten eignet sich das alles überhaupt nicht. Das wäre Aufgabe des Dateisystems oder einer Datenbank. (Ich bin mir nicht sicher, ob die Frage vielleicht darauf abzielte.)
 
in sessions nur das nötigste abspeichern, generell sollte man bei allen globals aufpassen, sprich: env, server, post, get, request, session, cookie.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Neueste Beiträge

Zurück
Oben