Login Script Idee - Sicher?

@onemorenerd:
Stimmt, mit dem Benutzernamen und der Passwortprüfung hast du recht, guter Einwand.


Die Benutzernummer überprüfe ich auf die Art, damit ich sichergehe, dass sie auch wirklich nach dem Einloggen von meinem Skript gesetzt wurde.
Wie hättest du das überprüft?
Also gibt es keine Möglichkeit eine $_SESSION[] Varibale anders zu setzen, also für Außenstehende?

Wenn du in deinem Code keine solche Möglichkeit (versehentlich!?) eingebaut hast, nein.
Von außen kann man nur GET-, POST-, COOKIE- und einige SERVER-Variablen beeinflussen, SESSION jedoch nicht. Der Client bekommt ja nur Session-ID mitgeteilt und schickt sie bei jedem Request wieder mit. Die Session-Daten verlassen den Server nie. Sie werden auf dem Server gespeichert und beim session_start() schaut PHP, ob der Client eine Session-ID mitgeschickt hat, ob auf dem Server zu dieser ID Daten gespeichert sind und wenn dem so ist, werden die Daten in $_SESSION geladen. Der Client kann diesen Prozess nicht beeinflussen. Er kann höchstens seine Session-ID manipulieren. Mit sehr viel Glück landet er dann in der Session eines anderen Clients. Höchstwahrscheinlich ist die manipulierte Session-ID dem Server aber überhaupt nicht bekannt.

Danke.

Ich möchte hinter diesem Skript eine Möglichkeit Newsbeiträge zu schreiben und Inhalte der Website zu ändern. Reicht das dazu aus, oder empfehlt ihr mir zusätzliche Sicherheitsmaßnahmen?

Gruß

Rhetorische Frage, oder? Jede Sicherheitsmaßnahme ist sinnvoll. Man ist nie zu sicher.

Aber man kann natürlich nicht jede mögliche Maßnahme umsetzen. Die Kosten müssen in gesunder Relation zum Nutzen, sprich der Schutzwirkung und dem geschützten Gut stehen.

Das größte Sicherheitsrisiko ist aber immer der Mensch. Damit meine ich dich! Den Programmierer. Hier ein Beispiel.
Also mach dich schlau und immer schlauer. Und sieh zu, dass du immer nur mit solchen Dingen zu tun hast, deren Verlust oder Mißbrauch du verantworten kannst. Kleine Brötchen backen ... noch kein Meister vom Himmel gefallen und so ...

Das ist klar...
Kannst du mir vielleicht ein paar Links empfehlen?
Es ist immer schwer nach etwas so grobem zu suchen... Wahrscheinlich kennst du dich da schon besser aus.

Google: "session sicherheit php ssl cookie"

Ok, werde ich machen - ich danke für eure Hilfe

Hmpf, mein letzter Beitrag hat es wohl nicht rüber gebracht. Ich formuliere mal anders:

Sicherheit ist die Abwesenheit von Sicherheitsmängeln.
Auf die Frage wie du Sicherheit erreichen kannst, gibt es eine alles erschlagende Antwort: Vermeide Sicherheitsmängel.

Daraus ergeben sich zwei weitere Fragen: Welche Sicherheitsmängel gibt es und wie kannst du sie vermeiden?

Für eine Antwort google einfach mal nach web security. Beim Lesen der ersten 100 von 177 Mio. Treffern werden dir wahrscheinlich ein paar* Begriffe und Abkürzungen immer wieder begegnen. Die kannst du wieder an Google verfüttern ...


*) Es gibt ungefähr zehnhochunendlichmalixplusk viel mehr als die von combie genannten und jeden Tag werden es mehr.