Loginsystem og session
HejJeg har et loginsystem, som virker, men det jeg gør er at skrive i en session variabel at jeg er loggede ind, så de andre sider kan se at de skal vise indholdet og ikke sende mig til login formularen. Men det er der jo en potentiel sikkerhedsrisiko i men har jeg noget alternativ?
min check fil ser ud som følger, hvis der er nogle sikkerhedshuller i den vil jeg blive glad for en kommentar på det også.
<?php
session_start();
require_once("sqlfunctions.php");
SQL_ConnectDb();
$bruger = $_POST["brugernavn"];
$pass = $_POST["password"];
$bruger = stripslashes($bruger);
$pass = stripslashes($pass);
$bruger = mysql_real_escape_string($bruger);
$pass = mysql_real_escape_string($pass);
$error = "";
$userQuery = mysql_query("SELECT medlemsnummer,login,password,adgangsniveau FROM medlemmer WHERE login='$bruger'");
if(mysql_num_rows($userQuery) != 1)
{
}
else
{
$userArray = mysql_fetch_array($userQuery);
}
if($userArray["password"] != SHA1($pass))
{
$error .= "Password og brugernavn passer ikke sammen.<br>";
}
if($error != "")
{
echo $error . "<a href=\"java script:history.back(-1);\">Tilbage</a>";
}
else
{
$_SESSION["logged_in"] = 1;
$_SESSION["user_id"] = $userArray["medlemsnummer"];
session_register ("brugernavn");
header("Location: index.php");
}
SQL_CloseLink();
?>
Koden der står i de andre fil for at tjekke om jeg er logget ind er.
<?
if (! session_is_registered (brugernavn))
{
header ("Location: index.php");
}
?>