Hallo php-resource community!
Folgendes:
Habe ein kleines Login-System mit Sessions.
Da ich kein PHP-Profi bin wäre es toll wenn ihr mal einen Blick drauf werfen würdet ob das auch sicher ist
Am Anfang jeder Datei die nur der eingeloggte User sehen soll steht
PHP-Code:
<?PHP include("access.php"); ?>
Access.php:
PHP-Code:
<?PHP
if(!isset($_SESSION['admin']))
{
header("location: index.php");
exit;
}
?>
Auf der index.php befindet sich das Login-Formular. Wenn man also nicht eingeloggt ist wird man dahin geleitet.
Das Login-Formular sieht folgendermaßen aus:
Code:
<form action="login.php" method="post">
<input type="text" size="12" maxlength="50" name="username" />
<input type="password" size="12" maxlength="50" name="password" />
<input type="submit" value="Login">
</form>
in der login.php sieht's so aus:
PHP-Code:
<?PHP
session_start();
$user = $_POST["username"];
$pw = $_POST["password"];
include("_admin.php");
if ($user == $username && md5($pw) == $password)
{
$_SESSION['admin'] = "$user";
header("location: admincenter.php");
}
else
{
header("location: index.php");
}
?>
und wie man unschwer erkennen kann befinden sich die Info's (username und password) in der _admin.php
Gibt's da irgendwelche Lücken?^^
MfG
Schiller