Ich habe ein Einloggscript und verwende dafür Session. Wenn nun jemand Cookies deaktiviert hat wird ja die Session id über URL weitergegeben.

Kopiert ein Benutzer den Link und gibt ihn weiter (zum Beispiel per ICQ) ist dieser User auch gleich eingeloggt unter dem gleichen Namen.

Das Links weitergegeben werden kommt häufig vor da es sich um eine Partybilderseite handelt.

Ich hab schon mal mitbekommen das das über ein verstecktes Form Feld geht.

Vielleicht kann es nochmal jemand genauer Beschreiben was man einfügen muss und auf was mann dann achten muss.

Danke

überprüf doch einfach die IP der Session bei jedem Seitenaufruf, dann kann nur der Benutzer, der auch wirklich angemeldet ist, die nur Mitgliedern zugänglichen Bereiche sehen.

---
Arbeit ist das Feuer der Gestaltung. - Marx

Soll ich dann wenn IP ungleich ist die Session löschen ? Dann ist der andere USer aber auch ausgeloggt.

Oder wie stellst du dir das vor ?

Nein, einfach am Anfang der Seite:



Die Funktion get_mysql_session_ip muss dann einfach anhand der Sessionid die IP des benutzers aus der DB lesen.

---
Arbeit ist das Feuer der Gestaltung. - Marx

Das mit dem versteckten feld:

ne form mit action="POST" auf jeder seite einfügen und mit:

<input type="hidden" name="sessionid" value="deineSIDvar">
ein feld einfügen

dann haste die SID in ner POST var, ohne das man das feld sieht.

Aber das Post-Formular muss erst übermittelt werden, bevor man $_POST['SID'] überall aufrufen kann. Und das macht man für gewöhnlich nicht mit jedem Link ...

---
Arbeit ist das Feuer der Gestaltung. - Marx

Ich habe es nun wie folgt gelöst :

1.) IP in die Session Speichern
2.) Stimmt Client-IP nicht mit der IP in der Session erfolgt ein logout.

Nur zur Info

Wirklich verlassen kannst du dich aber nicht drauf daß die IP richtig ist. Manche Provider vergeben dauernd neue IP's auch während ein user verbunden ist.

---
We are born wet, naked and hungry, then things got worse!

Welche Provider machen denn sowas ?

aol z.b., da kann jede anfrage von einer anderen ip kommen...hässlich sowas. Aber wie soll man es sonst kontrollieren? cookies sind die letzte möglichkeit.

---
Arbeit ist das Feuer der Gestaltung. - Marx

das is ein schweres Thema. Generell gibts keine sichere Möglichkeit die immer funktioniert.

Ne kombination von cookies oder wenn die nciht funktionieren, dann im quelltext verstecken müßte schon ganz gut gehen.

Allerdings is das auch net so super.

Warum willst denn das eigentlich verstecken? Wegen dem einen oder anderen Bild ist doch net so schlimm oder?

---
We are born wet, naked and hungry, then things got worse!

aoluser gehören eh ausgesperrt

*aufeinelangediskussioneinstell*

---
Arbeit ist das Feuer der Gestaltung. - Marx

Verstecken aus dem Grund, weil dann der User der den Link mit der Session ID bekommt automatisch als der Uaer eingeloggt ist der ihn versendet hat.

Am Browser kann man es ja leider auch nicht festmachen.

Naja die Leute sind selbst schuld, wenn sie links mit session ID kopieren.

Naja, wichtig scheint mir das zu sein wenn jemand was anderes macht als bilder anzusehen.
setz doch einfach wenn sich die ip ändert den user auf untrusted, d.h. er bleit zwar eingeloggt und kann sich bilder ansehen, aber wenn er versucht passwort oder sonst etwas zu ändern muß er in dem formular extra noch mal das alte passwort angeben.

---
We are born wet, naked and hungry, then things got worse!

Der User kann auch kommentare abgeben und privatnachrichten schreiben.

Da jedesmal das Passwort abzufragen wäre unvorteilhaft.