php

[afoeder]

hallo!

wenn ich dem Benutzer eine Änderung an einer Tabelle ermöglichen möchte, dann kann ich ja ein HTML-Formular erstellen, der Benutzer hat sich vorher angemeldet,. und so steht in diesem HTML-Formular irgendwo

<input type="hidden" id="UserID" value="153">
damit der benutzer nur "seine" Daten ändert.
der kann jetzt aber hergehen, den Quelltext kopieren, die UserID ändern, irgendeinen "scheiß" in die restlichen Felder eintragen, absenden, und mein PHP-script führt die Updates für den "falschen" Benutzer aus.

Kann man das irgendwie verhindern, z.B. indem man irgendwie checked, ob das HTML-Formular von demunddem Server kommt?


danke,

adrian

 

[Albu]

Du solltest den User Login innerhalb einer Session machen... dann kannst Du überprüfen und sicherstellen, daß der Browser, mit dem sich der Benutzer X angemeldet hat auch der Browser und Benutzer ist, der die Änderungen durchführt.
In PHP3 macht man Sessions am besten mit der PHPLIB und in PHP4 ist das alles schon integriert.

 

[afoeder]

ich habe in meinem PHP-Buch schon von sessions gelesen, da aber an der Stelle keine konkreten Scriptbeispiele verwendet wurden, habe ich keine Ahnung, wie man das verwemdet.

Nur mal Interessehalber: worauf "reagieren" die "session-ids"?
nach browser? und sicher nach IP-ADresse...
aber da müssen doch noch ein paar Faktoren mehr sein...

hast Du ein kleines Tutorial für Sessions?

danke,
adrian

 

[Albu]

schau mal unter http://www.koehntopp.de/php/faq-version4_session.html nach, da wird das ziemlich umfangreich erklärt

 

[afoeder]

super, danke, genau das, was ich gesucht habe!