Sorry @ TobiaZ , in der eile, habe ich völlig vergessen gehabt den check einzubauen, so das man schon mit dem puren Link in das "Intern" kam.
Also nochmal mein Problem, ich habe eine Art Intern programmiert, das mit einem Login und einen check ausgestattet ist.
Login sollte klar sein, User und PW. Der check arbeitet wiefolgt, das wenn sich der Member erfolgreich eingeloggt hat, wird die Session und eine Zufallszahl (wir vorher generiert), in die DB geschrieben. Der check schaut also bei jedem Link, den der User im Intern benutzt erst, ob er halt richtig eingeloggt ist, und vergelicht dazu die Session-Session und die Session-Zufall mit den Daten in der DB, falls diese == sind, wir der Link ausgeführt, falls nicht, ab zum Login.
Nur kommt leider mein Freund ohne dieses Login + Check in mein Intern und kann Member/News editeiren und hinzufügen. Ich weiss nciht, ob es eventuell eine Sicherheitslücke im allgemeinen in meinem Script ist, da ich mich mit php seit ca 1 WOche erst beschäfftige.
HOMEPAGELINKE
Vielleicht weiss einer, ob es ebend solch simple tricks gibt, wie man ohne Login und etc reinkommen könnte. Wäre nett, wenn derjenige mir diese sagt, und auch noch ein lösungvorschlag gibt, um diese zu entfernen.
Danke für die Mühen
mfg
P.S: wenn der Quellcode gebraucht wird, bitte sagen, da ich nicht alle 7 Files hier rein psoten will.
Also nochmal mein Problem, ich habe eine Art Intern programmiert, das mit einem Login und einen check ausgestattet ist.
Login sollte klar sein, User und PW. Der check arbeitet wiefolgt, das wenn sich der Member erfolgreich eingeloggt hat, wird die Session und eine Zufallszahl (wir vorher generiert), in die DB geschrieben. Der check schaut also bei jedem Link, den der User im Intern benutzt erst, ob er halt richtig eingeloggt ist, und vergelicht dazu die Session-Session und die Session-Zufall mit den Daten in der DB, falls diese == sind, wir der Link ausgeführt, falls nicht, ab zum Login.
Nur kommt leider mein Freund ohne dieses Login + Check in mein Intern und kann Member/News editeiren und hinzufügen. Ich weiss nciht, ob es eventuell eine Sicherheitslücke im allgemeinen in meinem Script ist, da ich mich mit php seit ca 1 WOche erst beschäfftige.
HOMEPAGELINKE
Vielleicht weiss einer, ob es ebend solch simple tricks gibt, wie man ohne Login und etc reinkommen könnte. Wäre nett, wenn derjenige mir diese sagt, und auch noch ein lösungvorschlag gibt, um diese zu entfernen.
Danke für die Mühen
mfg
P.S: wenn der Quellcode gebraucht wird, bitte sagen, da ich nicht alle 7 Files hier rein psoten will.
Kommentar