Archief - Login security

Geachte mede 9lifers,

Ik ben bezig met een basis CMS te schrijven in PHP, tesamen met wat xHTML, CSS, Javascript/Ajax.

Nu heb ik in mijn cms zelf een hoop verschillende PHP files, die enkel zouden mogen toegankelijk zijn voor mensen die ingelogd zijn. Ik weet wel dat je aan het begin van elke pagina kan kijken als er een SESSION variabele bestaat die ik eerder aanmaakte om de login te checken. Maar ik vraag me af als het wel veilig is zo.

Iemand wat tips om een login te checken op een veilige manier?

Dank bij voorbaat,
Bert

Dat is een redelijk veilige manier.

Een andere oplossing, en Drupal doet dat bijvoorbeeld zo, is het gebruiker object global maken en te werken met permissies. Kijk bijvoorbeeld eens naar de user_access() functie van Drupal. Wanneer de static $perms array nog niet bestaat wordt die uit de database gelezen en wordt er gecontroleerd of die gebruiker voldoende permissies heeft om een pagina te bekijken, bijvoorbeeld door het aanroepen van user_access('administer site configuration') en te handelen naargelang het resultaat van die oproep.

Je moet ze nu niet volledig gaan overnemen maar het is altijd aangeraden eens te kijken hoe andere CMS'en zoals Drupal en Joomla dergelijke dingen afhandelen. Stelen met je ogen mag nog steeds.

vBulletin werkt ook met permissies in een gebruikersobject

waar wordt zo'n globaal gebruikersobject dan opgeslaan? als cookie in de browser?

Neen, de server handelt dat af.

Er wordt ook een cookie gebruikt bij sessies om de server duidelijk te kunnen maken dat je nog steeds dezelfde persoon bent. Die cookie wordt verwijderd bij het sluiten van je browser. Maar de sessie zelf staat wel op de server.