Zitat von
Matze:
Nein das geht auch dann nicht, denn in der PHP-Datei wird die Sitzung geprüft und somit der aktuell angemeldete Benutzer ermittelt. Es ist also nicht möglich unter anderem Namen zu posten, egal welche Rechte der jeweilige Benutzer hat.
Ich verstehe das Argument nicht. Ich glaube aber du verstehst auch meins nicht.
Also pass auf. Stell dir vor, du bist in deinem Forum angemeldet und surfst in den Threads rum. Jetzt hat jemand in seiner Signatur (Versteckt als "Bild") einen Link wie oben angegeben. Jetzt ruft dein Browser diese Seite auf - und zwar mit deiner Session und somit auch mit deinen Rechten! Und wenn er in diesem Link einfach per GET einen neuen Shoutbox-Eintrag anlegt, dann wird dieser natürlich auch mit deinem Namen versehen. Die ganze Sache ist natürlich mit gewissem Aufwand verbunden, aber es ist möglich!
Zitat von
Matze:
Ich weiß, dass du es nett meinst, aber in Sachen Sicherheit bin ich so verantwortungsbewusst wie nur möglich. Gut, Fehler kann man nie ausschließen, aber solche grob fahrlässigen Dinge mache ich (normalerweise) nicht.
Ich versuche das eigentlich auch, aber es gibt ja so viele Dinge, auf die man achten muss...
Mit freundlichen Grüßen,
Valle