Ich möchte in meinem quickComment (http://www.mozilo.de/pluginarchiv/details.php?image_id=52&sessionid=b40e6g13i5pb4fevk7j99mjho6) Plugin die Funktion hinzufügen, dass Kommentare wieder gelöscht werden können.
Meine Idee ist, dass, sobald man als Admin eingeloggt ist, im Frontend an jedem Kommentar einen Link "Löschen" sieht, um den zugehörigen Kommentar schnell und einfach zu löschen.
Mein Ansatz ist, mit der Abfrage
if(isset($_SESSION['login_okay']) and $_SESSION['login_okay'] == "true") createDeleteLinks();
die Lösch Links nur dann anzuzeigen, wenn man als Admin eingeloggt ist.
Meine Frage ist: Ist diese Abfrage sicher? Also gewährleistet sie, dass wirklich nur ich, wenn ich an meinem PC eingeloggt bin, die Löschen Links sehe? Denn die Session ist ja nur meiner IP zugeordnet, oder? Es soll natürlich nicht jeder beliebige Besucher Kommentare löschen können...
lg und danke schonmal!
Ich würde es genauso machen, sicherheitshalber aber nur über https zulassen.
$_SESSION liegt auf dem Server und ist insofern nicht manipulierbar vom Browser aus. Aber theoretisch könnte über http die Session-ID eines Admins abgefangen und übernommen werden.
Ok, vielen Dank für die Antwort.
Zitat von: "ManfredB"sicherheitshalber aber nur über https zulassen
Wie genau?
Am einfachsten geht das mit
if ($_SERVER["SERVER_PORT"] == 443){ ... }
Ich habe bei dem Kommentar allerdings meine Server-Standardkonfiguration vor Augen gehabt:
1. https läuft auf dem Server
2. http und https verweisen auf den gleichen Webspace
Wenn man dann die Seite per https://.. (//https://). aufruft, sieht man den Löschbutton, bei http://.. (//http://). nicht mehr.
Wenn der Server das nicht bietet, dann ist $_SESSION trotzdem noch die beste Wahl.
Noch eine Anmerkung zum Löschen selbst: Das sollte auch noch mal über $_SESSION['login_okay'] abgefangen werden, denn Formulare lassen sich wirklich einfach im Browser manipulieren.
Zitat von: "ManfredB"Wenn der Server das nicht bietet, dann ist $_SESSION trotzdem noch die beste Wahl.
Ich muss meinen Server mal darauf checken, ansonsten bleibts erstmal so bei den sessions.
Zitat von: "ManfredB"Das sollte auch noch mal über $_SESSION['login_okay'] abgefangen werden
Wird gemacht, danke für den Hinweis.
Zitat von: "ManfredB"Formulare lassen sich wirklich einfach im Browser manipulieren
Wie denn z.B.?
Zitat von: "HPdesigner"Zitat von: "ManfredB"Formulare lassen sich wirklich einfach im Browser manipulieren
Wie denn z.B.?
Ich arbeite gerne mit Firefox und Firebug. Im Firebug kann man unter HTML nicht nur die Seite anzeigen lassen, sondern auch beliebige Elemente ändern und auch einfügen. Die Formularantwort sollte also immer komplett auf Berechtigung und Manipulationen getestet werden.
Zitat von: "ManfredB"Die Formularantwort sollte also immer komplett auf Berechtigung und Manipulationen getestet werden.
Pflicht! Ich danke dir für die Tipps!