| | | | |
21.08.2006, 17:26
| |
| Benutzer Registriert seit: 04.08.2005
Beiträge: 69
 |  Session ü heY :wink: Wenn ich bei einem Login eine Session starte und die in einem Cookie speicher, ist es dann sich genug die Session ID auf der nächsten Seite wieder auszulesen? Kann man anhand der Session den User festlegen, oder wie soll ich das machen? Alo ich meine, dass beim login Benutzer und pw geprüft werden und er dann weitergeleitet wird ins "CMS" tHX  |
|
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
21.08.2006, 18:29
| |
| Erfahrener Benutzer Registriert seit: 27.08.2007
Beiträge: 391
 | also die session wird nicht in dem cookie gespeichert! sondern nur die session-id! die sessiondaten liegen auf dem server! schon rein aus sicherheitsgründen!!! |
|
|
|
06.09.2006, 17:43
| |
| moderatives Dielektrikum  Registriert seit: 21.05.2008
Beiträge: 35.987
PHP-Kenntnisse: Fortgeschritten  | Abgesehen davon, daß Sessions allein keine Sicherheit machen, ist es ein großer Fehler UserID oder gar das Passwort darin zu speichern. |
|
|
|
06.09.2006, 18:11
| |
| Erfahrener Benutzer Registriert seit: 05.04.2005
Beiträge: 1.333
| das passwort kann man ja als hash-wert speichern
__________________ "Wenn du nicht weißt, was du tust: Machs mit Eleganz!" (Murphy's Gesetze) |
|
|
|
06.09.2006, 19:58
| ||
| Erfahrener Benutzer Registriert seit: 18.07.2004
Beiträge: 2.162
PHP-Kenntnisse: Fortgeschritten | Zitat:
Wichtig ist, dass die Session-Daten auf Shared-Hosts nicht von anderen Kunden des Hosters zugänglich sind und sonst gibt es natürlich noch so einiges zu beachten, um Sessions sicher zu machen. Benutz einfach mal die Suchfunktion hier im Forum. Ich hab mich hier dazu schon mehrmals ausgelassen... (und natürlich nicht nur ich) Basti | |
|
|
|
06.09.2006, 22:47
| |
| moderatives Dielektrikum Registriert seit: 21.05.2008
Beiträge: 35.987
PHP-Kenntnisse: Fortgeschritten | bei der UID geh ich mit. aber der username ist bereits teil der authentifizierung und damit wird schon die halbe sicherheit des logins reduziert. bzw. kann ich als außenstehender mit zugriff auf die sessions jede einzeln direkt zuordnen und mir zum beispiel diejenige als weiteres angriffsziel aussuchen, in der 'admin' steht. nix username. |
|
|
|
07.09.2006, 13:58
| |
| Erfahrener Benutzer Registriert seit: 13.11.2005
Beiträge: 2.583
| Wenn Außenstehende Zugriff auf deine Sessionsfiles haben, hast du wesentlich größere Probleme als die Tatsache, dass derjenige den Benutzernamen herausfinden kann (was sich im Normalfall auch über die ID sehr einfach realisieren lässt). |
|
|
|
07.09.2006, 14:26
| |
| Erfahrener Benutzer Registriert seit: 18.07.2004
Beiträge: 2.162
PHP-Kenntnisse: Fortgeschritten | Absolut! Wenn du die Session nicht sicher gespeichert bekommst, dann brauchst du sie erst garnicht zu starten. Du lässt ja auch nicht davon ab, wichtige Daten in die Datnbank zu speichern, weil jemand die Config-Datei mit den Zugangsdaten auslesen könnte, sondern siehst eben zu, dass diese Datei für niemanden sonst lesbar wird. Basti |
|
|
|
07.09.2006, 21:55
| |
| moderatives Dielektrikum Registriert seit: 21.05.2008
Beiträge: 35.987
PHP-Kenntnisse: Fortgeschritten | Ist trotzdem Quatsch. Selbst wenn es 'nur' durch einen blöden Fehler im Programm möglich wär $_SESSION ausgeben zu lassen. Schließlich referenziert die ID doch im Normalfall genau einen Datensatz, warum sollte ich da dessen Authentifikation mitspeichern? Selbst wenn ich dann die ID kenne kann ich vielleicht immer noch nicht das Passwort ändern... So denk ich mir das jedenfalls. |
|
|
|
08.09.2006, 00:17
| |
| Erfahrener Benutzer Registriert seit: 18.07.2004
Beiträge: 2.162
PHP-Kenntnisse: Fortgeschritten | Hi. Es hat ja auch niemand behauptet, dass man Authentifikationsmerkmale in die Session legen solle, oder? Ich hab oben lediglich geschrieben "Natürlich gehört der Benutzername bzw. die UID in die Session". Es gibt Systeme, bei denen der Benutzername die Benutzer-ID ist und wenn man diesen nicht ändern können soll und einen der Mehrbedarf an Speicher nicht kratzt, dann ist das ja auch absolut sinnig. Allerdings macht es Sinn, diese Merkmale in der Session zu speichern, wenn man die Authetisierung über einen entfernten Server (LDAP, Kerberos) abwickelt und es nicht ausreicht, diese nur einmal zu Beginn der Sitzung zu machen. Basti |
|
|
| Themen-Optionen | |
| Thema bewerten | |
|
|
Ähnliche Themen | ||||
| Thema | Autor | Forum | Antworten | Letzter Beitrag |
| [Erledigt] Session Problem | karina_02 | PHP Tipps 2008 | 6 | 18.05.2008 22:37 |
| Problem bei session Lifetime | Cyberbob_at_tot | PHP Tipps 2007 | 5 | 05.06.2007 17:47 |
| session nach seitenwechsel leer... | GELight | PHP Tipps 2006 | 8 | 17.09.2006 15:17 |
| Session Logout Login Navigation | TailerD | PHP Tipps 2006 | 10 | 24.06.2006 17:12 |
| session array | Timo Trallala | PHP Tipps 2006 | 18 | 22.04.2006 13:45 |
| Frage zur Anwendung einer Session mehrfach... | GELight | PHP Tipps 2006 | 10 | 12.03.2006 16:47 |
| [Erledigt] php session problem :( | PHP Tipps 2005-2 | 5 | 21.10.2005 16:37 | |
| Session abschaltbar?? Probleme mit Objekten in Session! | becks123 | PHP-Fortgeschrittene | 3 | 19.09.2005 15:47 |
| Session wird nicht angelegt | PHP Tipps 2005-2 | 7 | 24.07.2005 13:35 | |
| Kreieren einer Session | PHP Tipps 2005 | 11 | 28.05.2005 15:16 | |
| Session error nach Umstellung auf PHP 5 | PHP Tipps 2005 | 15 | 13.05.2005 14:35 | |
| verliere Session | Sonja | PHP Tipps 2005 | 3 | 27.04.2005 09:32 |
| Session Problem | PHP-Fortgeschrittene | 3 | 18.02.2005 14:37 | |
| [Erledigt] Formulardaten in einer Session speichern, per Link übergeben | PHP Tipps 2004-2 | 2 | 29.12.2004 15:47 | |
| [Erledigt] Hilfe...PhpBB Session Problem!! | PHP Tipps 2004-2 | 2 | 15.12.2004 18:28 | |
| Besucher kamen über folgende Suchanfragen bei Google auf diese Seite |
| php session umlaute |
Dieser Inhalt ist unter einer Creative Commons-Lizenz lizenziert.
