Verzeichnis-Sicherheit

aufgewärmtes

mir ist aufgefallen, dass ja bei GET-Daten , die einem Link hinzugefügt werden, leicht betrogen werden kann.

Wenn jemand mal Zugangsberechtigung hatte und die GET-Daten in der URL, der Statuszeile des Browsers ( oder - im IE - auch im Downloadfenster anstatt des Dateinamens, wie ich feststellte) gesehen hat, kann er sie ja - falls er gesperrt wurde - in der URL wieder mitschicken, um Zugang zu erhalten.
POST-Daten im <hidden>-Feld sind auch im Quelltext sichtbar.

Also ist doch der einzig sichere Weg $_SESSION ? Oder irr ich mich da??

die links übergibst du schön per get, alles andere is zu umfangreich

download.php?id=45 so zum beispiel

aber es kann dir ja niemand verbieten in der downbload.php zu prüfen ob es ne gültige session gibt und im fall eines falles nix zu machen oder ne fake-datei rauszuschicken

gut, ist in meinem Fall sogar das einfachste, die Session zu prüfen. In den Objekt-Eigenschaften (Objekt wird durch Session erhalten) hab ich jetzt auch die ehem. GET-Parameter reingepackt.

Nur bisher hab ich mir keine Gedanken über die GET-Parameter gemacht - bei mir hätte sich jemand einschleichen können, nur indem er sich meinetwegen "type=consultant" merkt...