Hola, por msn me han dicho que podian simular por medio de la edicion de cookies estar logueado en otra cuenta. El problema viene a ser que han podido hacerse pasar por administradores.
Hay algun error de seguridad en este trozo?
Código PHP:
function entrar() {
if ($_SESSION['conectado']) {
$this->checkSession();
} elseif (isset($_COOKIE['LoginCookie']) ) {
$this->checkCookie($_COOKIE['LoginCookie']);
}
}
function galletas($cok2) {
list($usuario, $la_id) = unserialize(stripslashes($cok2));
$query = mysql_query("SELECT miembro, cookie, info FROM
usuarios WHERE miembro = '$usuario' && cookie = '$la_id'");
(**)
$result = mysql_fetch_object($query);
if (is_object($result)) {
$this->setSession($result, true);
}
}
unserialize(stripslashes($cok2)) es [arroba]unserialize(stripslashes($cok2)), pero el sistema antispam del foro no me deja poner el arroba.
Me han dicho que es aqui donde esta el problema:
$query = mysql_query("SELECT miembro, cookie, info FROM
usuarios WHERE miembro = '$usuario' && cookie = '$la_id'");
Espero que podáis ayudarme.