Hallo,

ich habe ein kleines Problem beim Löschen einer Variable in PHP.
Und zwar geht es um Folgendes:

Nehmen wir mal an, man registriert sich z.B. in einem Forum und bekommt sein Login-Passwort dann nicht per Mail zugesandt, sondern im Browser angezeigt.

Das heißt, man sieht es nur einmal, merkt es sich und gut ist.
Wenn das ganze Prozedere per TLS läuft, kann man sich schön sicher sein, dass nur der Nutzer selbst das Passwort weiß.

Aber, da gibt es ein Problem: Wenn der Nutzer jetzt nachdem er das Passwort bekommen hat, einfach fröhlich weitersurft und ihm dann einfällt, dass er mal auf's Klo muss, könnte ein Angreifer einfach im Verlauf zurückschalten und würde das Passwort zu sehen bekommen.
Denn den Bildschirm hat unsere Testperson natürlich nicht gesperrt.

Die Frage ist jetzt: Wie macht schafft man es, dass das Passwort bei Zurückschalten oder Neuladen nicht mehr angezeigt wird, ohne mit $_SESSION zu arbeiten.
Denn wenn jemand Cookies ausgeschalten hat, könnte ein Angreifer evtl. im Querystring in der Adresslseite Hinweise darauf finden, wie er wieder an das verbrogende Passwort kommt.

Es geht also schlicht darum eine Variable richtig zu löschen. Mit unset() scheint das nicht zu funktionieren und auch alle möglichen $xyz=NULL bringen nichts.

In einer Variable, z.B. $password.
In der DB liegt das dann als MD5-Hash.

Zitat von Paulchen

Und wenn du die Seite nochmal aufrufst, wo kommt $password dann her?

Das frag ich mich ja auch. Ich habe sogar den Cache gelert und das nochmal versucht. Da hat der immer noch $passwort ausgegeben, sowohl bei zurückschalten als auch bei Reload.

Ich hab das jetzt so gelöst, dass in der DB abgecheckt wird, ob es für den Nutzer schon ein Passwort gibt.
Wenn nicht, wird es generiert und angezeigt. Wenn ja (was beim Reload oder Zurückschalten dann der Fall ist), passiert nichts.