Neuigkeiten:

moziloCMS verwendet Cookies. Wenn Sie auf unserer Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu Datenschutzerklärung
moziloCMS Layouts
moziloCMS Plugins

Hauptmenü

Abfrage des Admin Login

Begonnen von HPdesigner, 03. Mai 2012, 23:52:11

« vorheriges - nächstes »

HPdesigner

Ich möchte in meinem quickComment Plugin die Funktion hinzufügen, dass Kommentare wieder gelöscht werden können.

Meine Idee ist, dass, sobald man als Admin eingeloggt ist, im Frontend an jedem Kommentar einen Link "Löschen" sieht, um den zugehörigen Kommentar schnell und einfach zu löschen.

Mein Ansatz ist, mit der Abfrage
if(isset($_SESSION['login_okay']) and $_SESSION['login_okay'] == "true") createDeleteLinks();
die Lösch Links nur dann anzuzeigen, wenn man als Admin eingeloggt ist.

Meine Frage ist: Ist diese Abfrage sicher? Also gewährleistet sie, dass wirklich nur ich, wenn ich an meinem PC eingeloggt bin, die Löschen Links sehe? Denn die Session ist ja nur meiner IP zugeordnet, oder? Es soll natürlich nicht jeder beliebige Besucher Kommentare löschen können...

lg und danke schonmal!
Check my website devmount.de
and find me on Twitter, Medium, GitHub, StackOverflow, Codepen and Slack

ManfredB

#1
Ich würde es genauso machen, sicherheitshalber aber nur über https zulassen.

$_SESSION liegt auf dem Server und ist insofern nicht manipulierbar vom Browser aus. Aber theoretisch könnte über http die Session-ID eines Admins abgefangen und übernommen werden.

HPdesigner

#2
Ok, vielen Dank für die Antwort.

Zitat von: "ManfredB"sicherheitshalber aber nur über https zulassen
Wie genau?
Check my website devmount.de
and find me on Twitter, Medium, GitHub, StackOverflow, Codepen and Slack

ManfredB

#3
Am einfachsten geht das mit
if ($_SERVER["SERVER_PORT"] == 443){ ... }
Ich habe bei dem Kommentar allerdings meine Server-Standardkonfiguration vor Augen gehabt:
1. https läuft auf dem Server
2. http und https verweisen auf den gleichen Webspace

Wenn man dann die Seite per https://... aufruft, sieht man den Löschbutton, bei http://... nicht mehr.

Wenn der Server das nicht bietet, dann ist $_SESSION trotzdem noch die beste Wahl.

Noch eine Anmerkung zum Löschen selbst: Das sollte auch noch mal über $_SESSION['login_okay'] abgefangen werden, denn Formulare lassen sich wirklich einfach im Browser manipulieren.

HPdesigner

#4
Zitat von: "ManfredB"Wenn der Server das nicht bietet, dann ist $_SESSION trotzdem noch die beste Wahl.
Ich muss meinen Server mal darauf checken, ansonsten bleibts erstmal so bei den sessions.

Zitat von: "ManfredB"Das sollte auch noch mal über $_SESSION['login_okay'] abgefangen werden
Wird gemacht, danke für den Hinweis.

Zitat von: "ManfredB"Formulare lassen sich wirklich einfach im Browser manipulieren
Wie denn z.B.?
Check my website devmount.de
and find me on Twitter, Medium, GitHub, StackOverflow, Codepen and Slack

ManfredB

#5
Zitat von: "HPdesigner"
Zitat von: "ManfredB"Formulare lassen sich wirklich einfach im Browser manipulieren
Wie denn z.B.?

Ich arbeite gerne mit Firefox und Firebug. Im Firebug kann man unter HTML nicht nur die Seite anzeigen lassen, sondern auch beliebige Elemente ändern und auch einfügen. Die Formularantwort sollte also immer komplett auf Berechtigung und Manipulationen getestet werden.

HPdesigner

#6
Zitat von: "ManfredB"Die Formularantwort sollte also immer komplett auf Berechtigung und Manipulationen getestet werden.
Pflicht! Ich danke dir für die Tipps!
Check my website devmount.de
and find me on Twitter, Medium, GitHub, StackOverflow, Codepen and Slack