[PHP] Sessionwert verfälschen

[Renegade]

Hi,

Ganz kurz: Es ist doch richtig, dass ein potenzieller Angreifer seine eigenen Sessions nicht verfälschen kann, oder? Angenommen:

$_SESSION['username'] = 'Hans';
in
$_SESSION['username'] = 'Peter';
ändern?

 

[chrissel]

Ja ist richtig
Sessions werden auf dem Server gespeichert. Nur wenn er direkt auf dem Server Zugriff hat kann er die Sessions ändern.
Das was ein Angriffer ohne Serverzugriff kann, ist das Zugreifen auf anderen Sessions, dafür muss er aber die SessionID kennen und so eine herauszufinden ist nicht leicht.

 

[Renegade]

Hi,

Ok, das hatte ich mir auch so gedacht. Danke für die schnelle Antwort