SESSION = deleted

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • SESSION = deleted

    Hi,

    ich hab hier ein komischs Problem.
    Von Zeit zu Zeit bekommen die User einer unserer Seiten die Session "deleted" anstatt einer gültigen Session ID.
    Ich prüfe ab ob die Session gültig ist und schreibe ein Mail wenn etwas nicht stimmt - deswegen bekomm ich das überhaupt mit. Da ich aber keine eigenen Sessions-IDs vergebe, sondern die Sessionverwaltung von PHP nutze stehe ich grad ein bischen dumm da.

    Hat einer von euch ne Idee, woher das kommen könnte? Im Dateisystem befindet sich dann übrigens auch eine Datei namens "deleted" mit Werten die ich in der Session ablege.

  • #2
    Re: SESSION = deleted

    Hm ... das kann ja eigentlich nur dadurch passieren, dass du die SID manuell darauf setzt, oder ein User mit einem entsprechenden Get-Parameter auf deine Website geht ...
    Überprüfe doch mal den Referer (schicken lassen per Mail)

    Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

    bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
    Wie man Fragen richtig stellt

    Kommentar


    • #3
      überhaupt das ganze ALL_RAW mitsenden., REMOTE_ADDR usw. möglichst viel.

      Kommentar


      • #4
        Das ist eine gute Idee - werd ich morgen nochmal nach schauen. Die REQUEST_URI lass ich mir aber schon mitsenden und da steht nichts in der Richtung drin.

        @heiss: was meinst du mit ALL_RAW?

        Gibt es sonst noch eine Möglichkeit wie das zu Stande kommen kann?

        Kommentar


        • #5
          Original geschrieben von prego
          @heiss: was meinst du mit ALL_RAW?

          Gibt es sonst noch eine Möglichkeit wie das zu Stande kommen kann?
          $_SERVER['ALL_RAW'], das ist anstatt REFERER usw. einzeln rauszupflücken. oder gerade das ganze $_SERVER, $_GET, $_COOKIE, $_POST !!!!

          ohne Spezialist zu sein, mir scheint auch, dass da jemand in der URL, oder eventuell im session cookie mit einer getürkten session id daherkommt, und php macht bei session_start() tapfer eine session draus. Ob das ein Fehler in der Cookie/Historyverwalung eines users, ein Angriff, eine gestohlene/gehandelte Session ist? So oder anders muss man mal herausfinden, welcher user, von welcher IP, und unter welchen Umständen diese Session anlegt. Solang du die Ratschläge hier nicht abgehandelt hast, ist deine Frage: wie sonst noch - verfrüht.

          Für den Mechanismus: du weisst wie Du session id's in URL usw. machst, kannst ja selber einen getürkten Aufruf machen: nicht auf 'deleted', sondern auf 'selbstgefaelscht' um den Mechanismus etwas zu studieren.
          Zuletzt geändert von heiss; 17.07.2006, 22:59.

          Kommentar


          • #6
            Das Problem ist, das mehrere Leute gleichzeitig die Session deleted bekommen. Von daher hatte ich das Problem das man auf einmal auf der Seite jemand komplett anderes war. Wenn nicht alzu viel los war, konnte der Surfer dann ganz gemütlich mit den Userdaten des anderen Schindluder treiben.

            Das das ganze ein absichtlicher "hack"-Versuch ist will ich nicht ausschließen, aber wir haben ein-zwei mails erhalten das es da anscheinend ein Problem gibt. Jemand der Schindluder treibt schreibt schlecht an den Support und sagt "Hey, hier geht was nicht...."

            Ich hab grad nachgeschaut, lass mir nur GET, POST, COOKIE und SESSION in der E-Mail schicken. Werd da jetzt mal SERVER noch mit bei packen - mal schauen was da zu tage kommt.

            Danke euch auf jeden Fall schonmal.

            Kommentar


            • #7
              Original geschrieben von prego
              Das Problem ist, das mehrere Leute gleichzeitig die Session deleted bekommen. Von daher hatte ich das Problem das man auf einmal auf der Seite jemand komplett anderes war. Wenn nicht alzu viel los war, konnte der Surfer dann ganz gemütlich mit den Userdaten des anderen Schindluder treiben.
              Sicher, dass die SID auf deleted steht?
              Ich hatte mal ein ähnliches Problem, wo man als jemand anders eingeloggt war, das war allerdings eine specialty von register_globals. Die dumme Einstellung hat meine Session-Vars in den globalen Namespace importiert, ich wusste das natürlich nicht und habe die Variablen in meinen Skripten überschrieben, auf einmal stand in der Session-Variable ein ganz anderer Wert drin ... nicht sehr lustig

              Ein netter Guide zum übersichtlichen Schreiben von PHP/MySQL-Code!

              bei Klammersetzung bevorzuge ich jedoch die JavaCoding-Standards
              Wie man Fragen richtig stellt

              Kommentar


              • #8
                Japp, ganz sicher - es gibt sogar eine Datei auf der Pladde die "deleted" heist, sich aber ansonsten wie eine ganz normale Session verhält. (Inhalt, etc.)

                Register-Globals ist "zum Glück" aus.
                In der htaccess: php_value register_globals 0

                Das dumme ist, jetzt hab ich heute morgen die Funktion geändert, das er mir auch $_SERVER mit zumailt und jetzt passierts grade nicht mehr *grrrr*

                Naja, letzte Woche wars auch nur einmal - warten also.

                Kommentar


                • #9
                  OffTopic:
                  wo wir gerade beim thema sind, wie schalte ich meine register_globals ab, wenn ich Keinen zugriff auf die ini habe?? wahrscheinlich ne dumme frage, aber dumme fragen gibts ja nicht

                  Kommentar


                  • #10
                    Hast du pregos Post gelesen ? Da steht was von htaccess und
                    In der htaccess: php_value register_globals 0
                    Gruss

                    tobi
                    Gutes Tutorial | PHP Manual | MySql Manual | PHP FAQ | Apache | Suchfunktion für eigene Seiten

                    [color=red]"An error does not become truth by reason of multiplied propagation, nor does truth become error because nobody sees it."[/color]
                    Mohandas Karamchand Gandhi (Mahatma Gandhi) (Source)

                    Kommentar


                    • #11
                      hab ich, konnt aber nicht glauben, das das alles ist!! kann ich das ins htdocs legen und alle meine wünsche sind erfüllt? oder jedes verzeichnis??

                      Kommentar


                      • #12
                        @php-desaster: Mach in deinem htdocs Verzeichniss eine datei mit den Namen ".htaccess" und schreib das da rein.

                        Kommentar

                        Lädt...
                        X