header variablen ?

Guten Morgen,
habe irgendwie im moment ein Problem und finde nicht den Weg wie ich weitermachen soll. Ich habe ein Login Bereich in dem sich der User einloggen kann. Klappt soweit recht gut, ich habe mit dem Befehl header über die URL die Session weitergegeben und auch den Benutzernamen. Den Benutzernamen verwende ich auf der folgeseite um einige Daten aus der Datenbank zu holen.

Die URL schaut so aus:
blabla_&session=234a9de4f3972e8d2e489dbf844c4d83&user=hanswurst

Wenn nun aber der User die URL editiert und aus Hanswurst Hanspeter macht und der User auch bei mit registriert ist, hat er auch sein Profil und kann es editieren. Ich habe da nun eine idee im Kopf, das ich die SessionID in die Datenbank schreibe und diese dann vergleiche die ich mit der URL übergebe. Würde gerne wissen ob es nicht eine bessere Lösung für mein Problem gibt.

Klar könnte ich den Benutzernamen mit md5 in die Datenbank schreiben und auch so problemlos mit in der URL übergeben, aber der sollte schon klartext sein.

Zitat:

Klar könnte ich den Benutzernamen mit md5 in die Datenbank schreiben und auch so problemlos mit in der URL übergeben, aber der sollte schon klartext sein.

Totaler humbug!

Genauso wie das übergeben des Usernamen in der URL. Wenn du etwas in der URL übergibst, musst du immer davon ausgehen, dass es manipuliert werden kann und wird.

Warum aber bitte speicherst du den USernamen nicht in der Session ab? Wofür hast du die denn bitte angelegt? Hö?

Zitat:

Original geschrieben von TobiaZ

Warum aber bitte speicherst du den USernamen nicht in der Session ab? Wofür hast du die denn bitte angelegt? Hö?

da hat er recht...

OffTopic:

---

der insgesamt harte Tonfall ist immer wieder erstaunlich, muss ich sagen...

---

da fand ich "totaler humbug" aber ehrlich gesagt härter

Die Session wird nur gestartet wenn der User sich einloggt, also überprüfe ich auf jeder Seite ob die übergebene Session auch die Session ist die ich gestartet habe.

Habe auch versucht den Benutzernamen in die Session zu schreiben, nur hat er den nicht auf der nächsten Seite übergeben. Dachte einfach das es sicherlich an dem header Befehl liegt und das es damit nicht klappt.

OffTopic:

---

deshalb hab ich ja auch "insgesamt" geschrieben

---

müsste aber auch mit header() klappen...

machst denn auch überall brav session_start() ?

Ist die SID auf allen Seiten die selbe?

Ja sicher
habe ich da was falsch gemacht oder ein schreibfehler ... ?

PHP-Code:

        session_start();
        session_register("benutzername");
        header ("Location: ?navirechts=user_r_eingeloggt&navigation=kontakt&navilinks=navi_l"); 


auf der folgeseite habe ich einfach zum testen

PHP-Code:

session_start();
if(session_register("benutzername"))
{echo "joh";}
else {echo "nö";} 


session_register

Das tolle ist ja das ich genau das gelesen habe und da es nicht funktionierte über google etwas anderes gefunden habe. Beides hat nicht funktioniert aber nun geht es ....

Hatte wohl zuerst irgendwo ein schreibfehler ... tzzzz

Wenn du das wirklich gelesen haben solltest, dann frage ich mich, wieso du noch die funktion session_register verwendest.

Weil das meine editierte Version war und das was ich bei google.de gefunden habe wohl ziemlich alt gewesen ist.

glaube hier habe ich es her
http://www.selfphp.info/funktionsref...e.php#beispiel

Egal danke für den Tip klappt ja nun, solange ich zu meinem Ziel komme