Thema: Sessions und die Sicherheit. Verständnisfrage.
Einzelnen Beitrag anzeigen
Alt 29.10.2008, 20:42  
nikosch
moderatives Dielektrikum
 
Benutzerbild von nikosch
 
Registriert seit: 21.05.2008
Beiträge: 34.214
PHP-Kenntnisse:
Fortgeschritten
nikosch kann auf vieles stolz seinnikosch kann auf vieles stolz seinnikosch kann auf vieles stolz seinnikosch kann auf vieles stolz seinnikosch kann auf vieles stolz seinnikosch kann auf vieles stolz seinnikosch kann auf vieles stolz seinnikosch kann auf vieles stolz seinnikosch kann auf vieles stolz seinnikosch kann auf vieles stolz sein
Standard
Nach jedem Request ist das Quatsch. Und - nein, das verwaltet der Server (also PHP) schon so, dass die Zuordnung zum User erhalten bleibt.

Wichtig ist eine Änderung nach dem Login, sonst könnte Dir jemand eine Session über einen Link mit Session-GET-ID unterschieben (Session-Fixation).

session_regenerate_id
Zitat:
Die Funktion session_regenerate_id() ersetzt die aktuelle Session-ID durch eine neue und übernimmt die aktuellen Session-Informationen.
Zitat:
Falls Session-Cookies aktiviert sind, wird durch die Verwendung von session_regenerate_id() nun auch ein neues Session-Cookie mit der neuen Session-ID abgegeben.
[edit]
PS: Noch nicht gelesen, sieht aber gut aus: Session-Angriffe - eine Analyse an PHP | PHP MySQL rapid prototyping & Sicherheit
Geändert von nikosch (29.10.2008 um 20:50 Uhr).
nikosch ist offline