MrMarco

SQL-Injections gehen auch über POST. Es gibt genügend fertige Sourcen, die einen Browser mit allem Simulieren. Sogar für PHP.

Der einzigste sichere Weg im Moment (auch wenn es da bestimmt schon Hacks für gibt), ist immer noch SSL.

Alles andere sind Notlösungen, welche den Großteil der Scriptkiddis abhalten können.

Mister Ad

Na klar. Jeder hat da seine eigenen trüben Erfahrungen gemacht.

Das kommt auf das Script an.
1. register_globals = Off
2. alle Uservariablen in GET/POST/FILES (bei Bedarf auch COOKIE) prüfen und niemals davon ausgehen, "es würde ja schon gut gehen".
3. an SQL Injektionen denken, wenn Uservariable in DB Abfragen eingefügt werden.
4. _________

Ja.

Das ist doch die gleiche Diskussion wie hier

http://www.phpfriend.de/forum/viewto...=108644#108644


Ich frage mich echt warum das Thema Sessions immer so Wellen schlägt.
Einmal ordentlich das Manual gelesen und alles ist doch klar.

Und was hat denn SSL mit $_SESSION zu tun

Mein Admin-Bereich fahre ich über SSL, deshalb benötige ich trotzdem die SESSION.

Ja leider.
Es ging hier zwischenzeitlich um die Weitergabe der Session_id. Meiner Meinung nach hat die in einem Link nix verloren. Nicht unbedingt nur wegen der Sicherheit - auch deshalb, weil sich dann "nicht reproduzierbare" Links ergeben. Suchmaschinen mögen sowas auch nicht. Und weil die Session_id trotzdem vom Client zum Server geschickt werden muß, bleiben, real betrachtet, nur noch Session-Kekse übrig.

Allerdings findet sich immer wieder mal einer mit einer militanten Keksallergie...

Sehr richtig, übrigens hatten wir nicht auch mal um diese Thema "geboxt" :wink: Egal

Falls es nur einen 'ulle' gibt: meines Wissens hatten wir mal in einem anderen Forum eine Diskussion über zwei unterschiedliche PEAR :: Auth Versionen