Sikkerhed ved level

Umiddelbart, nej, så kan man ikke snyde sig udenom lige den kodeblok, men der kan jo godt være sikkerhedsbrister andre steder.

<ole>

Spørgsmålet: "Kom til at tænke på, at jeg hellere må spørge om nedenstående kode er sikker nok ift at give/nægte adgang?", giver nok ikke så megen mening(?) - alt efter, hvad du mener med det  =)

Hvis koden skal være sikker nok til at afgøre adgangstilladelsen, forudsætter det, at $_SERVER['level'] - og koder 'i nærheden af den' - bliver behandlet forsvarligt/sikkert alle andre steder i din applikation.

Har du en eller anden lille brist et andet sted, hvor du sætter/behandler brugerens session - eller variabler, som har indflydelse på hendes session - er koden ovenfor ikke sikker. Sålænge koden behandler variabler, som bliver behandlet sikkert andre steder, er koden sikker - meeeeeeen ...

Strykninsuppe er afsindig farlig, mens jordbærgrød er totalt ufarlig. Det forudsætter dog, at ingen har penslet jordbærrene med cyankalium - eller importeret dem fra Kina  *o)

/mvh
</bole>

Du skal ikke bruge sessioner på den måde for at hindre adgang til nationalbankens guldreserver ... :)

1) Man kan stjæle den sessionscookie, og derved udgive sig for at være den anden (og kan man lytte med på linien, kan man sikkert også sørge at komme fra den samme IP-adresse, så det hjælper ikke stort også at kigge på den).

1a) Og punkt 1) kan man så klare så nogenlunde med en https-forbindelse (og du kan selv google efter svagheder ved https)

2) På webserveren ligger navn på sessionscookie, og værdierne i sessionsvariable typisk i klar tekst, og er det på et delt webhotel har du reelt ingen garanti for om andre kan se med.

Så måden er til en vis grad sikker, men om den er sikker nok til din anvendelse kan vi ikke sige noget om. Men skal man klare øl-regnskabet på kollegiet, så går det nok.

- og hækler du SQL-sætninger sammen til brug i MySQL for at logge brugeren ind (og/eller til andre formål), ville jeg kun turde bruge din kode til et virtuelt ølregnskab.

Når man tænker på, hvormange sites, der logger brugere ind over HTTP - og bruger usikker og forældet databasekommunikation - er det et under, at der ikke sker flere 'ulykker' ... og at disse sites overhovedet er oppe!

Man kunne få den tanke, at hackere er dovne eller yderst selektive mennesker. Deres 'arbejdsmarked' er i hvertfald på ingen måde truet af krisen  =)

tak for deltagelse
lukker