Wenn sich ein Nicht-Administrator-Benutzer mit geringen Rechten erfolgreich bei meiner Webanwendung anmeldet, speichere ich die folgenden Daten in der $_SESSION
Array:
$_SESSION = array(
'user_id' => 2343, // whatever their user_id number is from the DB
'allow_admin' => false, // don't give them access to admin tools
'allow_edit' => false, // don't let them edit stuff
);
Gibt es irgendeine Möglichkeit, dass sie die Daten manipulieren können? $_SESSION
Array, um ihnen Admin- oder Edit-Zugriff zu geben, abgesehen von der Bearbeitung der Sitzungsdateien in /tmp
? (Der obige Code ist die einzige Stelle, an der diese Elemente zu $_SESSION
)