php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 18-05-2005, 16:33
r0acH
 Newbie
Links : Onlinestatus : r0acH ist offline
Registriert seit: May 2005
Ort: Weinfelden - Schweiz
Beiträge: 2
r0acH ist zur Zeit noch ein unbeschriebenes Blatt
Question SESSIONS ohne File oder Cookie!

Guten Tag miteinander,

ich weiss es gibt schon etliche Beiträge über Sessions und damit verbunde Probleme. Allerdings habe ich eine Frage auf die ich hier noch keine, nach längerer Suche (auch mit Suchfunktion ), Antwort gefunden hab!

Ich hoffe jemand kann mir helfen!


Ich bin gerade dabei eine PHP Applikation zu programmieren (welch ein wunder in diesem Forum ). Diese Applikation ist nicht öffentlich gedacht, also steht auf der Startseite ein Loginform und sonst nix. Jetzt da diese Appl. sicher sein MUSS will ich die berühmten Sessions benutzen.
Ich kann allerdings keine Files oder Cookies benutzten (Vorgabe vom Lehrmeister )

Nun will ich Sessionhandling über die MySQL Datenbank realisieren, sprich ich schreibe die Session ID, den dazugehörigen User und einen Timestamp in die Tabelle.
Als ich unseren PHP Progger gefragt habe ob das ganze per "Datenbank-Sessions" sicher ist, meinte er die einzige möglichkeit sicher Sessions zu benutzen sei die Session-File variante.
Dort werde neben der SessionID auf die BrowserID gespeichert die bei jedem Browser einzigartig ist! Als ich ihn fragte ob man diese Unique BrowserID nicht auch auslesen und in die DB schreiben könne, konnte er mir nicht weiterhelfen.
GRUNDSÄTZLICH frage ich mich, stimmt das mit der eindeutigen Browser ID überhaupt -> gibt es das??? oder was macht es mit Session-Files so viel sicherer das nicht einfach die URL mit der SessionID weitergegeben werden kann und der trotzdem durch einen unterschied als "falscher surfer/besitzer der ID" erkannt wird?


Ich hoffe ihr versteht meine Frage, ist ein bisschen lang formuliert sorry


mfg
r0acH

Geändert von r0acH (18-05-2005 um 16:36 Uhr)
Mit Zitat antworten
  #2 (permalink)  
Alt 18-05-2005, 16:47
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

kurz gesagt - sowas gibt's nicht.

dein ansatz ist jedoch korrekt - die session id's werden in der db verwaltet, um den eingeloggten benutzer mit einem angemeldeten zu identifizieren. wenn du angst vor cookies hast oder einfach nur allergisch bist, kannst du die sid immer in der url von seite zu seite mitnehmen.
Mit Zitat antworten
  #3 (permalink)  
Alt 18-05-2005, 16:57
r0acH
 Newbie
Links : Onlinestatus : r0acH ist offline
Registriert seit: May 2005
Ort: Weinfelden - Schweiz
Beiträge: 2
r0acH ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von penizillin
kurz gesagt - sowas gibt's nicht.
dacht ichs mir doch das gibt prügel für den lügner





hmm aber das problem ist doch bei in der url mitgegebener sid dass ich dann die url einfach kopieren kann, an nen jemand anderen schicken -> der gibt die url im browser ein (inkl. sid) und ist eingeloggt.
Oder warum wird das verhindert? meine DB merkt ja nicht das es ein anderer browser ist der nun offen ist?


übrigens vielen dank für die schnelle antwort
Mit Zitat antworten
  #4 (permalink)  
Alt 18-05-2005, 17:01
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

cookies kann man auch klauen.

clientseitige sicherheit zu garantieren ist nicht die aufgabe des entwicklers eines webbasierten systems.

hier noch:
Session's und die Sicherheit

http://www.php-resource.de/tutorials/read/38/1/

Geändert von penizillin (18-05-2005 um 17:03 Uhr)
Mit Zitat antworten
  #5 (permalink)  
Alt 18-05-2005, 17:04
Quetschi
 PHP Expert
Links : Onlinestatus : Quetschi ist offline
Registriert seit: Dec 2004
Beiträge: 3.134
Quetschi wird schon bald berühmt werden
Standard

Zitat:
meine DB merkt ja nicht das es ein anderer browser ist der nun offen ist?
Richtig, für deinen geschilderten Fall wären dann halt doch Cookies die bessere Lösung, wobei auch hier keine 100%ige Sicherheit gewährleistet ist.

Eine Möglichkeit wäre noch die IP des Clients abzuspeichern und jedesmal zu prüfen, aber auch hier gibts Probleme:
- AOL-User
- User hinter Proxy's (hier könnte die Session von jedem hinter dem gleichen Proxy ganz easy geklaut werden).

EDIT:
weiteres Problem dabei:
- wechselt ein User seine IP weil er z.B. seine Verbindung kurz gekappt hat wird er rausgeschmissen.

Geändert von Quetschi (18-05-2005 um 17:08 Uhr)
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

PHP Marktplatz-Software
PHP Marktplatz-SoftwareEs hat sich viel getan! Die neue Version 7.5.9 unserer PHP Marktplatz-Software ebiz-trader steht ab sofort zur Verfügung.

28.10.2019 | Berni

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni


 

Aktuelle PHP Scripte

jqPlot jQuery Plotting Plugin ansehen jqPlot jQuery Plotting Plugin

jqPlot ist ein plotting und charting plugin für das jQuery Javascript framework

06.11.2019 Berni | Kategorie: AJAX/ Framework
WYSIWYG Editor

WYSIWYG Editor zum Einbinden in PHP Scripte.

21.10.2019 Stephan_1972 | Kategorie: PHP/ WYSIWYG
Modelmanager

Der Modelmanager ist ein Webtool für Fotografen, kann als komplette Homepage oder als Webtool installiert werden.

10.10.2019 Stephan_1972 | Kategorie: PHP/ Bilder
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 10:23 Uhr.