SESSION ID Einstellungen in php.ini

14.07.2005, 22:49

in der php.ini kann man einige Einstellungen bezüglich Übergabe u. Verhalten von Session ID's vornehmen,
u.a. auch:

session.use_cookies "1" = cookies benutzen
session.use_only_cookies "0" = nur cookies für Übergabe Session ID benutzen

folgendes ist mir unklar:

- Wenn man die Session ID auf diese Art übergibt, wo werden dann die Cookies abgespeichert?
- Muss der Client die Cookies extra freigeben (z.B. im IE unter Internetoptionen/Datenschutz/Erweitert?
- Wie sicher ist diese Art der Übertragung von Sessions? Ist die Übergabe bsp. über URL od. Formular sicherer?
- Welche Übergabeart wird in der Praxis verwendet?
- Wie ist das bei Providern geregelt?

derHund · 15.07.2005, 00:00

müßt ihr immer alles in jedem forum posten? welchen mehrwert sollte das haben, für dich als threadstarter, für uns, die wir antworten?

15.07.2005, 00:20

Die jeweiligen Sessiondaten werden anhand einer session-id ermittelt. Wer die session-id kennt (also an den webserver übermitteln kann), dem wird die zugehörige session zugeordnet. Wie diese session-id übertragen wird, ist dabei im Prinzip egal.
php unterstützt von Hause aus verschiedene Methoden. Aber egal welche davon benutzt wird, vom client zum server wird immer nur die session-id geschickt; die eigentlich session-Daten bleiben beim server.

session.use_cookies=on, php versucht bei jedem session_start() einen Keks mit dem session-Namen und der session-id zu setzen. Das ist ein ganz normaler Keks, für den die selben Richtlinien gelten wie für alle anderen Cookies auch. Parameter für diesen cookie können in der php.ini, htaccess oder per session_set_cookie_params() (natürlich vor session_start) gesetzt werden. Häufig wird die cookie-Lebensdauer auf 0 gesetzt; der cookie soll nicht persistent gemacht werden (z.B. auf der Festplatte gespeichert werden) sondern nur bis zum Beenden des client-Programms im Speicher gehalten werden. IE und Mozilla haben hierfür -wie bereits erwähnt- eigene Einstellungen.

session_name=session_id kann, muss aber nicht per cookie übertragen werden. Es kann wie jedes andere name=wert-Paar auch z.B. per POST oder GET übertragen werden. Ob php diese Formen akzeptiert, wird über session.use_only_cookies gesteuert. Steht es auf off, sucht php nicht in den GET/POST-Daten nach dem passenden session_name-Parameter.

Wird die Session-id per GET übergeben
z.B. http://www.phpfriend.de/posting.php?...904baa2a96feff
reicht es aus, wenn jemand so unbedarft -oder dumm wie ich gerade- ist, und diesen url weitergibt. Solange die session-id gültig ist, reicht es, diesen url zu benutzen, um die session zu übernehmen (puh...ich bin doch nicht dumm... die session ist nicht mehr gültig).

Ob und wie php selbstständig die session-id an links u.ä. anhängt wird über session.use_trans_sid und url_rewriter.tags gesteuert (alles nachzulesen unter: http://php.net/session)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
[Erledigt] Session Problem	karina_02	PHP Tipps 2008	6	18.05.2008 22:37
Problem bei session Lifetime	Cyberbob_at_tot	PHP Tipps 2007	5	05.06.2007 17:47
php.ini & error_*	squig	PHP Tipps 2007	2	25.12.2006 22:18
session nach seitenwechsel leer...	GELight	PHP Tipps 2006	8	17.09.2006 15:17
[Erledigt] Session Dauer ohne php.ini bestimmen?		PHP Tipps 2007	15	05.12.2005 17:05
[Erledigt] php session problem :(		PHP Tipps 2005-2	5	21.10.2005 16:37
Session php.ini session.cookie_path		PHP Tipps 2005-2	1	24.07.2005 21:36
Kreieren einer Session		PHP Tipps 2005	11	28.05.2005 15:16
User werden nicht angezeigt/aufgelistet - Session Fehler?		PHP Tipps 2005	13	25.05.2005 16:49
Problem mit Einstellungen in der php.ini bz. mail()	CSS	PHP Tipps 2005	3	03.04.2005 17:31
[Erledigt] Formulardaten in einer Session speichern, per Link übergeben		PHP Tipps 2004-2	2	29.12.2004 15:47
[Erledigt] Hilfe...PhpBB Session Problem!!		PHP Tipps 2004-2	2	15.12.2004 18:28
Sessions starten/ Einstellungen in der PHP.INI		PHP Tipps 2004	3	04.08.2004 15:28
Ich versteh die php.ini nicht		PHP Tipps 2004	1	30.06.2004 22:18
php.ini		PHP Tipps 2004	1	23.06.2004 23:22

14.07.2005, 22:49
Gast Beiträge: n/a	SESSION ID Einstellungen in php.ini in der php.ini kann man einige Einstellungen bezüglich Übergabe u. Verhalten von Session ID's vornehmen, u.a. auch: session.use_cookies "1" = cookies benutzen session.use_only_cookies "0" = nur cookies für Übergabe Session ID benutzen folgendes ist mir unklar: - Wenn man die Session ID auf diese Art übergibt, wo werden dann die Cookies abgespeichert? - Muss der Client die Cookies extra freigeben (z.B. im IE unter Internetoptionen/Datenschutz/Erweitert? - Wie sicher ist diese Art der Übertragung von Sessions? Ist die Übergabe bsp. über URL od. Formular sicherer? - Welche Übergabeart wird in der Praxis verwendet? - Wie ist das bei Providern geregelt?


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

15.07.2005, 00:00
derHund Erfahrener Benutzer Registriert seit: 29.10.2004 Beiträge: 1.781	müßt ihr immer alles in jedem forum posten? welchen mehrwert sollte das haben, für dich als threadstarter, für uns, die wir antworten? __________________

15.07.2005, 00:20
Gast Beiträge: n/a	Die jeweiligen Sessiondaten werden anhand einer session-id ermittelt. Wer die session-id kennt (also an den webserver übermitteln kann), dem wird die zugehörige session zugeordnet. Wie diese session-id übertragen wird, ist dabei im Prinzip egal. php unterstützt von Hause aus verschiedene Methoden. Aber egal welche davon benutzt wird, vom client zum server wird immer nur die session-id geschickt; die eigentlich session-Daten bleiben beim server. session.use_cookies=on, php versucht bei jedem session_start() einen Keks mit dem session-Namen und der session-id zu setzen. Das ist ein ganz normaler Keks, für den die selben Richtlinien gelten wie für alle anderen Cookies auch. Parameter für diesen cookie können in der php.ini, htaccess oder per session_set_cookie_params() (natürlich vor session_start) gesetzt werden. Häufig wird die cookie-Lebensdauer auf 0 gesetzt; der cookie soll nicht persistent gemacht werden (z.B. auf der Festplatte gespeichert werden) sondern nur bis zum Beenden des client-Programms im Speicher gehalten werden. IE und Mozilla haben hierfür -wie bereits erwähnt- eigene Einstellungen. session_name=session_id kann, muss aber nicht per cookie übertragen werden. Es kann wie jedes andere name=wert-Paar auch z.B. per POST oder GET übertragen werden. Ob php diese Formen akzeptiert, wird über session.use_only_cookies gesteuert. Steht es auf off, sucht php nicht in den GET/POST-Daten nach dem passenden session_name-Parameter. Wird die Session-id per GET übergeben z.B. http://www.phpfriend.de/posting.php?...904baa2a96feff reicht es aus, wenn jemand so unbedarft -oder dumm wie ich gerade- ist, und diesen url weitergibt. Solange die session-id gültig ist, reicht es, diesen url zu benutzen, um die session zu übernehmen (puh...ich bin doch nicht dumm... die session ist nicht mehr gültig). Ob und wie php selbstständig die session-id an links u.ä. anhängt wird über session.use_trans_sid und url_rewriter.tags gesteuert (alles nachzulesen unter: http://php.net/session)