Crypi

Hi,

ich bastel an einem Script mit dem ich das was ein User sehen kann kontrollieren kann, also z.B ob er ein bestimmtes Eingabefeld sehen kann. So wollte ich dann jedes Feld mit einem Index versehen und dem User dann dieses Feld zuweisen oder eben nicht.

Die Frage ist ob ich dann jedes Mal bei jedem Seitenaufruf eine Datenbank-Anfrage starte, oder ob ich das über Cookies mache. Dann ein Aufruf ganz am Anfang und die Spezifikationen für den User in Cookies speichern. Geht ja über die "Array-Funktion" bei Cookies. Nun können das aber unter Umständen sehr viele Felder werden. Nun ist die Frage ob es ungünstig ist das soviele Cookies angelegt werden und man lieber in kauf nehmen sollte, das jedesmal die DB angefragt wird.

Vielen dank für eure Tips und eure Mühe!

Crypi

Mister Ad

Crypi

ok, hab jetzt was dazu gefunden, die anzahl von cookies die insgesamt gesetzt werden können ist begrenzt, von daher scheidet das als idee aus.

Crypi

Nicht die Anzahl sondern die Länge ist (abhängig vom Client) begrenzt. Rechne mit ca. 1KB.

Weder noch, weil Cookies Userdaten sind und somit sowieso überprüft werden müssen.

Verwende Session. Diese Daten liegen auf dem Server in Sicherheit.

Crypi

in einer session lassen sich arrays speichern?

Crypi

Crypi

Was passiert mit einer Session wenn das Browserfenster geschlossen wird?

Wird die dann vernichtet, oder besteht die Möglichkeit, dass der User auch dann noch ohne Neu-anmeldung in den geschützten Bereich kommt?
EDIT: ok hab ich gefunden, das geht wohl.

Wie sicher sind Sessions?

Crypi

Ich versteh die Frage nicht.

Server erkennt Client an hand der von ihm entweder per Cookie oder per GET/POST übermittelten Session_id und verwendet dann die im Session File abgelegten Daten. An die Daten kommt nur das Script ran. Da die session_id per HTTP GET/POST/COOKIE übermittelt wird, hat der "Mann in der Mitte" natürlich Chancen. Chancen hat auch der, der <irgendwie> (gefundener Link in einem Forum oder in einer Email) an die Zeichnkette einer noch gültigen Session rankommt.

XLB

Misch mich mal hier ein ...

@meikel :

Um die SessionID "irgendwann" wieder zur Identifikation des Clients/Users an den Server zu senden, muss die SessionID doch dann persistent verfügbar sein. Was bleibt da, ausser Cookies ?

Naja, der Client muß beim Request entweder per GET/POST oder COOKIE
den Sessionnamen -> session_name()
und die Session_id -> session_id()
mitschicken.

Wenn der Client den Keks angenommen hat, ist alles in Butter und man muß sich darum nicht mehr kümmern. Wenn er ihn nicht angenommen hat, dann muß man darauf reagieren. Folgende Möglichkeiten gibt es:
A: den User anschnauzen: "Zutritt nur mit Keks!"
B: einen Fallback programmieren und mittels der Konstante SID session_name und session_id an die Links bzw. Formulare kleben
C: session.use_trans_sid auf 1 setzen

Bei meinen eigenen Scripten bevorzuge ich Plan A. Macht weniger Arbeit. Außerdem kann ich auf DAUs mit Keksallergie verzichten.

XLB

@meikel:

Jau - Dank dir für den Denkanstoß...

Gruß,
Axel