hi
die session wird in einer anderen file erzeugt. dort wird schon überprüft, ob die daten pw und id zueinander gehören. wenn ich jetzt aber die unten aufgeführte file ohne irgendwelche angehängten variablen starte, dann habe ich trotzdem vollen zugriff auf die daten. was mach ich falsch und was muss ich ändern?


<?php
session_start();
$pw = $_SESSION["pw"];
$id = $_SESSION["id"];
$xid = session_id();

$usr_query = "SELECT pw, id FROM member WHERE id = '$id' AND pw = '$pw'";
$usr_result = mysql_query($usr_query) OR DIE (mysql_error());
$usr_row = mysql_fetch_object($usr_result);

$checkid = $usr_row->id;
$checkpw = $usr_row->pw;

if ($checkid == $id AND $checkpw == $pw)
{
}
else
{
echo "Sie sind nicht eingeloggt. Loggen sie sich ein oder melden sie sich an.";
}
?>

wenn ich dich richtig verstanden habe, hast du in der session schon pw un id registriert. dann muss du nach deinem session_start() auf die session_varis überprüfen und wenn nicht vorhanden, den user raus werfen.

bei php.net find ich nix von wegen session_var oder session_varis :dontknow:

Das hat mir in Bezug auf Session sehr viel weiter geholfen
(na immerhin habe ich dadurch viele neue Fragen *grins*)

Session.... (http://www.php-resource.de/manual.php?p=ref.session)

session var:

$_SESSION = Array();

das liegt am prinzip!

lädst du die site ohne session_vars sind sie null. und wenn du dann mit diesen angaben in deiner datenbank suchst - die ja nix findet - gibt sie null zurück - ola null == null also TRUE

einen erneuten vergleich brauchst du nicht und kannst dir den mysql connect sparen.
registrier am anfang eine var die z.b. $_SESSION["user_reg"] = TRUE bekommt bei erfolgreicher anmeldung. dann brauchst du nur noch in jedem file darauf zu prüfen


if ($_SESSION["user_reg"] === TRUE)
{
// access
}
else
{
// no access
}

BIG THX :huep:

hatte wohl das prinzip von sessions noch nich ganz verstanden :dontknow:

es geht jetzt :huep: