Hakuna matata!

* ? (Vorschläge)

Ich hab mir den Artikel gerade das erste mal durchgelesen und bin einigermaßen erschüttert. Vorallem weil der Quelltext selbst Sicherheitslücken aufweist:

  session_regenerate_id(); // erneuert die Session-ID,  
  #                         // erschwert Session-Hijacking

Inwiefern sollte es gegen Session-Hijacking nützlich sein, bei jedem Request eine weitere gültige Session zu erzeugen? Das ist geradezu eine Einladung für Angriffe dieser Art.

Über den Rest des Quelltextes lässt sich wegen der vielen exit-,die- und return-Statements erst gar nicht rational argumentieren. Der Kontrollfluss ist leider eine absolute Katastrophe.

Auch die Fehlerbehandlung ist mehr schlecht als recht:

if (! function_exists('crypt') ) {  // es gibt auch noch ältere ...  
   die ("Sorry: Aber Sie sollten Ihr PHP wirklich updaten!");  
}

Wieso wird hier kein PHP-Fehler produziert, sondern eine Ausgabe an den Endnutzer vorgenommen? Wieso befinden sich diese Zeilen überhaupt irgendwo mitten im Loginskript und nicht ganz am Anfang oder ausgelagert in einem Unterprogramm, das nur die Systemabhängigkeiten prüft?

Ich sehe da noch deutlichen Handlungsbedarf und ich finde, solange der Artikel in diesem schlechten Zustand verweilt, sollten wir ihn mit einer dicken, fetten Warnung versehen.