php.de

Zurück   php.de > Webentwicklung > PHP Einsteiger > PHP Tipps 2005
Session - Sicherheitsfrage Session - Sicherheitsfrage
Wiki Registrieren Grundlagen Suchen Heutige Beiträge Alle Foren als gelesen markieren

 
Seite 2 von 2 < 1 2
 
LinkBack Themen-Optionen Thema bewerten
Alt 28.05.2005, 19:31  
Gast
 
Beiträge: n/a
Standard
Zitat:
Zitat von dsxs
Ich möchte selber ein Session-Managment programmieren, mithilfe einer Datanbank...
Auch was muss ich da genau achten?
Lies da weiter:
http://de3.php.net/session_set_save_handler

In den Userkommentaren gibt es Beispiele oder Ansätze, wie man einen DB-gestützen Sessionbetrieb organisieren kann.

Zitat:
IP zu speichern bringt wohl nicht sehr viel, aber wie kann ich Session-Klau verhindern?
Nur so, daß Du alles tust, daß die Session_id nicht bekannt wird.

Und das bedeutet: Session-/Prozeß-Cookies, weil dort die Session_id nicht im Link auftaucht.

Bei Usern mit eingeschränkten Rechten kannst Du ja einen Fallback (Session_id im Link) vorsehen, aber bei Admins sollte Cookie Pflicht sein.

Noch größere Sicherheit ist nur mit SSL zu erreichen.
 
Sponsor Mitteilung
PHP Code Flüsterer

Registriert seit: 21.08.2005
Beiträge: 4682
PHP-Kenntnisse:
Fortgeschritten

Alt 28.05.2005, 19:38  
Gast
 
Beiträge: n/a
Standard
Zitat:
Zitat von Stümper
@Meikel: wenn ich es nach deinem Beispiel mache, bin ich also auf der sicheren Seite, weil sämtliche sessiondaten gelöscht werden?
Ich kenne Dein Script nicht, um diese Aussage treffen zu können. Ich selber mache es jedenfalls im Prinzip so wie geschildert:
Loginstatus true/false wird beim Login ermittelt und kommt in die Session. Im Keks ist nur die Session_id. Der Loginstatus wird bei jedem weiteren Request geprüft.

Beim Logout wird das Sessionarray so wie angegeben gelöscht, Loginstatus = false gesetzt, session_write_close() ausgeführt und ein header('Location: http://hostname/index.php')
abgeschickt.

Der User hat dann zwar noch den Prozeß-Keks incl. Session_id, aber der Loginstatus ist false. Damit ist er ein "unbeschriebenes Blatt".
 
Alt 29.05.2005, 11:05  
Erfahrener Benutzer
 
Registriert seit: 30.07.2004
Beiträge: 255
Stümper
Standard
@Meikel: jetzt habe ich, so glaube ich zumindest, verstanden, was Du meinst: Die Session wird nicht gelöscht, sondern nur der Inhalt des Arrays geschrottet, und kann wieder aufgenommen werden, da aber dER LOGIN Status dadurch false wird, weisst du, dass die Sitzung beendet worden ist.

ich möchte aber eigentlich erreichen, dass die session nicht wieder aufgenommen werden kann. Das klappt mit session_destroy eigentlich. Zusätzlich habe ich jetzt noch deine Idee eingebaut: d.h. bevor ich session detroy aufruf, führe ich mit login-variable ein unset durch und setze $_SESSIOn auf ein leeres array.

merci für die ratschläge und erklärungen
__________________
Zerstört alle Computer!
Stümper ist offline  
Alt 29.05.2005, 12:38  
Gast
 
Beiträge: n/a
Standard
Zitat:
Zitat von Stümper
ich möchte aber eigentlich erreichen, dass die session nicht wieder aufgenommen werden kann.
Das kann man nicht garantieren:
- wenn Session-Keks, dann schickt der Client den mit. Und wenn PHP zwischen den beiden Klicks das File noch nicht versenkt hat, existiert wieder eine gültige Session.
- selbst ohne Session-Keks kann die Session wieder aufgenommen werden, wenn die ID manuell mitgeschickt wird.

Sowas könntest Du nur dann garantieren, wenn Du Dir einen eigenen Session Handler basteln würdest, der dann nicht ein paar Minuten bis ein paar Stunden wartet, um das File zu killen, sondern sofort löscht.

session_destroy() löscht nicht selbst sondern teilt PHP mit, daß das File gelöscht werden kann. Löschen tut dann die 'Müllabfuhr'.
 
 
Seite 2 von 2 < 1 2

« txt von anderem Server einlesen und..... | probleme mit header »

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an
Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[Erledigt] Session Problem karina_02 PHP Tipps 2008 6 18.05.2008 22:37
Session Variablen als Referenz!? O_o Sam781 PHP-Fortgeschrittene 4 01.10.2007 11:19
Problem bei session Lifetime Cyberbob_at_tot PHP Tipps 2007 5 05.06.2007 17:47
session nach seitenwechsel leer... GELight PHP Tipps 2006 8 17.09.2006 15:17
Frage zur Anwendung einer Session mehrfach... GELight PHP Tipps 2006 10 12.03.2006 16:47
[Erledigt] php session problem :( PHP Tipps 2005-2 5 21.10.2005 16:37
Session abschaltbar?? Probleme mit Objekten in Session! becks123 PHP-Fortgeschrittene 3 19.09.2005 15:47
Klassenobjekt in ner Session speichern?! Finkman PHP Tipps 2005-2 5 09.08.2005 00:38
Session wird nicht angelegt PHP Tipps 2005-2 7 24.07.2005 13:35
Kreieren einer Session PHP Tipps 2005 11 28.05.2005 15:16
Session error nach Umstellung auf PHP 5 PHP Tipps 2005 15 13.05.2005 14:35
verliere Session Sonja PHP Tipps 2005 3 27.04.2005 09:32
[Erledigt] Formulardaten in einer Session speichern, per Link übergeben PHP Tipps 2004-2 2 29.12.2004 15:47
[Erledigt] Hilfe...PhpBB Session Problem!! PHP Tipps 2004-2 2 15.12.2004 18:28
$_GET und Session PHP Tipps 2004 9 20.06.2004 19:17


Alle Zeitangaben in WEZ +2. Es ist jetzt 10:49 Uhr.

php.de - Das deutsche PHP-Forum - Kontakt - Impressum - Forenregeln - Archiv - Nach oben



Powered by vBulletin® Version 3.7.2 (Deutsch)
Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.2.0
Aprilia-Forum, Aquaristik-Forum, Liebeskummer-Forum, Zierfisch-Forum, Geizkragen-Forum

Creative Commons License
Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.