AJAX: Session-Inhalt an PHP

Curanai · 05.11.2007, 00:31

Hallo,

ich habe hier ein kleines blödes Problem und komme nicht wirklich zu einer "sicheren" Lösung.

Eine Login-Seite führt per AJAX eine Authorisierung durch, gibt drei Werte zurück und öffnet im Erfolgsfall ein PopUp (mit weiteren Parametern zwecks Echtheit über Login etc.). Das klappt auch alles prima ...

Nun würde ich gern in dieser "AJAX deluxe" Applikation das Speichern von Datensätzen ermöglichen - hierzu habe ich selbstredend vom Login die UserID als Sessionwert präsent.

Wenn ich dem AJAX nun den Befehl zwecks SAVE (oder später LOAD) gebe, so muß ich doch - verdammt nochmal - diesen Wert aus der Session irgendwo hinpacken, damit ich hier via JavaScript zugreifen kann, oder? Sprich: Variable, hidden field o. ä.

Haken: Wenn ich nun diese Variable wie o. a. ablege, könnte ein Schelm via Firebug hier das JavaScript manipulieren und sich so z. B. die Datensätze von einer anderen UserID ansehen.

Leider ist die UserDB eine 1 - [n] Geschichte ... ich dachte schon an eine per Zusatz verschlüsselte UserID, die mit einem Array auf Serverseite abgeglichen wird ... hier könnte es aber schon recht ätzend werden, wenn ich ein Array mit 5.000 Usern habe und dazu ein Hashwert. Nachbauen könnte man den md5 nur, wenn die Ergänzung drin ist (also nix mit md5($_SESSION['UserID']) ) ... ein wenig sicherer schon.

Wie machen das denn die großen Versandhäuser beispielsweise? Die müssten doch nach erfolgreichem Login per Kundennummer z. B. auch irgendwie eine Übergabe hinbekommen ...

Oder bin ich zu kompliziert? Im SELFHTML-Forum hatte wohl jemand ein artverwandtes Problem (allerdings SessionID), doch da haben die User geschrieben, dass die Seite, die AJAX erfragt mit einem session_start() auch die Session hätte ... ich dachte eigentlich, dass der Request eher "unabhängig" von der gängigen Session ist und die AJAX-Request-Seite eine eigene Session bekommen würde. Wenn dem nicht so ist, löst sich mein Problem von allein ... ansonsten wäre ich für eine vielleicht moderatere Lösung dankbar.

Zusammenfassung:
- UserID: 15 (bspw.)
- UserID wird zum Auslesen bzw. Speichern von Datensätzen benötigt, die per AJAX erfolgt

Wie übergebe ich die 15 am sinnvollsten, ohne Mißbrauch zu bekommen? Denn schließlich muß der Wert für das JavaScript Gefrickel ja irgendwo hingeschrieben werden. Klartext ist - IMHO - fatal ...

Sorry, und falls wer darüber lachen will, bitte ... sitze jetzt seit 27 Stunden am Stück hier am Projekt ... vielleicht tut Schlaf mal Not.

Danke für alle Antworten.

agrajag · 05.11.2007, 11:40

Die Leute im SelfHTML-Forum hatten schon recht ... natürlich wirst du dazu die Session nutzen.

Ob das ganze ein AJAX-Request oder ein "normaler" Request ist, ist doch egal...

nikosch · 05.11.2007, 15:45

Richtig. Die SessionID wird ja vom Browser aus einem Cookie oder über die URL bei einem Request mit im Header übergeben. Und Ajax Aufrufe erfolgen durch Javascript, also auch browserseitig vom selben Client PC aus.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Bild verschafft sich platz		HTML, Usability und Barrierefreiheit	14	11.08.2008 23:45
[Erledigt] Session Problem	karina_02	PHP Tipps 2008	6	18.05.2008 22:37
Session Variablen als Referenz!? O_o	Sam781	PHP-Fortgeschrittene	4	01.10.2007 11:19
Fileupload via AJAX	GSJLink	HTML, Usability und Barrierefreiheit	11	07.09.2007 15:44
cookie - Inhalt in Session übernehmen		PHP Tipps 2007	4	25.07.2007 12:38
Problem bei session Lifetime	Cyberbob_at_tot	PHP Tipps 2007	5	05.06.2007 17:47
session nach seitenwechsel leer...	GELight	PHP Tipps 2006	8	17.09.2006 15:17
session inhalt ändert sich!	schmiddy	PHP Tipps 2006	4	09.04.2006 15:05
[Erledigt] php session problem :(		PHP Tipps 2005-2	5	21.10.2005 16:37
Klassenobjekt in ner Session speichern?!	Finkman	PHP Tipps 2005-2	5	09.08.2005 00:38
Session wird nicht angelegt		PHP Tipps 2005-2	7	24.07.2005 13:35
Kreieren einer Session		PHP Tipps 2005	11	28.05.2005 15:16
[Erledigt] Formulardaten in einer Session speichern, per Link übergeben		PHP Tipps 2004-2	2	29.12.2004 15:47
[Erledigt] Hilfe...PhpBB Session Problem!!		PHP Tipps 2004-2	2	15.12.2004 18:28
[Erledigt] Object in Session speichern		PHP-Fortgeschrittene	2	31.08.2004 14:15

05.11.2007, 00:31
Curanai Erfahrener Benutzer Registriert seit: 13.05.2006 Beiträge: 434	AJAX: Session-Inhalt an PHP Hallo, ich habe hier ein kleines blödes Problem und komme nicht wirklich zu einer "sicheren" Lösung. Eine Login-Seite führt per AJAX eine Authorisierung durch, gibt drei Werte zurück und öffnet im Erfolgsfall ein PopUp (mit weiteren Parametern zwecks Echtheit über Login etc.). Das klappt auch alles prima ... Nun würde ich gern in dieser "AJAX deluxe" Applikation das Speichern von Datensätzen ermöglichen - hierzu habe ich selbstredend vom Login die UserID als Sessionwert präsent. Wenn ich dem AJAX nun den Befehl zwecks SAVE (oder später LOAD) gebe, so muß ich doch - verdammt nochmal - diesen Wert aus der Session irgendwo hinpacken, damit ich hier via JavaScript zugreifen kann, oder? Sprich: Variable, hidden field o. ä. Haken: Wenn ich nun diese Variable wie o. a. ablege, könnte ein Schelm via Firebug hier das JavaScript manipulieren und sich so z. B. die Datensätze von einer anderen UserID ansehen. Leider ist die UserDB eine 1 - [n] Geschichte ... ich dachte schon an eine per Zusatz verschlüsselte UserID, die mit einem Array auf Serverseite abgeglichen wird ... hier könnte es aber schon recht ätzend werden, wenn ich ein Array mit 5.000 Usern habe und dazu ein Hashwert. Nachbauen könnte man den md5 nur, wenn die Ergänzung drin ist (also nix mit md5($_SESSION['UserID']) ) ... ein wenig sicherer schon. Wie machen das denn die großen Versandhäuser beispielsweise? Die müssten doch nach erfolgreichem Login per Kundennummer z. B. auch irgendwie eine Übergabe hinbekommen ... Oder bin ich zu kompliziert? Im SELFHTML-Forum hatte wohl jemand ein artverwandtes Problem (allerdings SessionID), doch da haben die User geschrieben, dass die Seite, die AJAX erfragt mit einem session_start() auch die Session hätte ... ich dachte eigentlich, dass der Request eher "unabhängig" von der gängigen Session ist und die AJAX-Request-Seite eine eigene Session bekommen würde. Wenn dem nicht so ist, löst sich mein Problem von allein ... ansonsten wäre ich für eine vielleicht moderatere Lösung dankbar. Zusammenfassung: - UserID: 15 (bspw.) - UserID wird zum Auslesen bzw. Speichern von Datensätzen benötigt, die per AJAX erfolgt Wie übergebe ich die 15 am sinnvollsten, ohne Mißbrauch zu bekommen? Denn schließlich muß der Wert für das JavaScript Gefrickel ja irgendwo hingeschrieben werden. Klartext ist - IMHO - fatal ... Sorry, und falls wer darüber lachen will, bitte ... sitze jetzt seit 27 Stunden am Stück hier am Projekt ... vielleicht tut Schlaf mal Not. Danke für alle Antworten. __________________ Manche Menschen sind wie Schnitzel - nicht zäh, aber beidseitig bekloppt!


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

05.11.2007, 11:40
agrajag Moderator Registriert seit: 02.10.2006 Beiträge: 3.820 PHP-Kenntnisse: Fortgeschritten	Die Leute im SelfHTML-Forum hatten schon recht ... natürlich wirst du dazu die Session nutzen. Ob das ganze ein AJAX-Request oder ein "normaler" Request ist, ist doch egal... __________________ Today you...Tomorrow me.

05.11.2007, 15:45
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.248 PHP-Kenntnisse: Fortgeschritten	Richtig. Die SessionID wird ja vom Browser aus einem Cookie oder über die URL bei einem Request mit im Header übergeben. Und Ajax Aufrufe erfolgen durch Javascript, also auch browserseitig vom selben Client PC aus.