Zitat:
Zitat von HababaX
Mit Sessions und Cookies ist allerdings keinerlei Sicherheit gewährleistet.
|
Das ist wohl eine Frage der Programmierung.
Und warum das nun nicht sicher sein soll verstehe ich sowieso nicht.
Eine Session-ID zu faken ist schon relativ schwierig und wenn jemand den einzigen Ansatzpunkt, nämlich das Cookie bzw. den Übergabeparameter der Session-ID ändert nützt Ihm das wenig bis garnichts, da wie aus meiner Beschreibung entnehmbar ist die weiteren notwendigen Informationen sowieso aus der Session geholt werden und diese, wie ich auch bereits geschrieben habe in der Datenbank abgelegt sein sollte.
Das bedeutet im Umkehrschluss wenn eine Session-ID nicht bekannt ist fliegt der Benutzer automatisch aus der Session.
Und was ist daran nun bitte nicht sicher ?
Wie willst du denn das Ganze absichern ? Mit POST und GET vielleicht ?
Bin mal auf deine Antwort gespannt.
Aber um deine Fragen aus deinem ersten Post zu beantworten.
Nein, es hat nicht jeder MySQL-Datensatz automatisch eine ID, die muss man schon definieren.