php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 22-02-2006, 00:23
simond
 Registrierter Benutzer
Links : Onlinestatus : simond ist offline
Registriert seit: Feb 2006
Beiträge: 34
simond ist zur Zeit noch ein unbeschriebenes Blatt
Standard session über url und cookies?

Hallo!
Weil manche Benutzer keine Cookies zulassen weicht man ja darauf aus, die session über url mitzugeben. Ich habe hier gelesen das die meisten das nur optional anwenden, d.h. wenn Session-Cookies nicht zugelassen werden.
Ist das wirklich eine gute Entscheidung? Ich meine wenn man es eh schonmal eingebaut hat über Urls mitzuschicken dann kann man es doch immer so machen? Oder ist der Weg über Session Cookies besser und schneller?
Wenn man es über Url macht, ist es sinnvoll es mit trans sid zu machen? Das ist natürlich komfortabler aber ich habe gelesen das es von der Performance her schlecht ist.

Simon
Mit Zitat antworten
  #2 (permalink)  
Alt 22-02-2006, 02:02
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

1. url
pro:
- wird von allen akzeptiert

contra:
- kann über browser history etc. gestohlen werden
- kann unter favoriten gespeichert werden und u.u. immer für die selbe sid sorgen (sicherheitsproblem)

2. cookie
pro:
- schwieriger zu stehlen

contra:
- wird manchmal nicht akzeptiert

viel mehr ist das nicht, denn "url sieht besser aus" und "ist einfacher zu realisieren" sind für mich keine argumente.

ergänzt jemand?
Mit Zitat antworten
  #3 (permalink)  
Alt 22-02-2006, 02:16
crysus
 Newbie
Links : Onlinestatus : crysus ist offline
Registriert seit: Feb 2006
Beiträge: 4
crysus ist zur Zeit noch ein unbeschriebenes Blatt
Standard

hallo,

wenn man die Session zeitlich begrenzt und an eine ip bindet, verschwinden fast die contrapunkte der sid übergabe per url.

so schwer sind cookies auch nicht zu stehlen


Was mich allerdings interessieren würde ist, wie es mit der performance der PHP eingebauten Sessionverwaltung ausschaut. Die Sessions werden gewöhnlich im Filesystem abgelegt, was Performance frisst.
Gibts da Vergleiche / Tests zwischen dieser Session und einer reinen Übergabe der SID und Neuaufbau der Objekte aus der DB? Natürlich hängts von der Datenmenge ab.

Gruß
Cry
Mit Zitat antworten
  #4 (permalink)  
Alt 22-02-2006, 02:27
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
[...] wenn man die Session zeitlich begrenzt und an eine ip bindet [...]
letzteres ist wiederum unsicher...

Zitat:
[...] Vergleiche / Tests zwischen dieser Session und einer reinen Übergabe der SID und Neuaufbau der Objekte aus der DB [...]
zwischen was??
Mit Zitat antworten
  #5 (permalink)  
Alt 22-02-2006, 11:58
crysus
 Newbie
Links : Onlinestatus : crysus ist offline
Registriert seit: Feb 2006
Beiträge: 4
crysus ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
etzteres ist wiederum unsicher...
Warum ist es unsicher eine sid an eine IP zu binden? Ich kann keinen Einwand erkennen.

Ein Problem ergibt sich bei manchen ISPs (zb AOL), die mal gerne öfter im laufendem Betrieb neue IP's ihren Kunden zuweisen.

IP-gebundene und zeitlich begrenzte (z.B. 30min gültig seit letzter Aktivität) Sessions sind schon sehr sicher imho.

Gruß
Cry
Mit Zitat antworten
  #6 (permalink)  
Alt 22-02-2006, 16:57
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ip-bindung ist nicht eindeutig, weil es proxy-server gibt.

OffTopic:
tausend mal von aol gehört, aber niemals verstanden, wo das problem liegt. nahezu JEDER provider vergibt bei der einwahl eine neue ip. und das ist völlig verständlich und legitim. kann sich denn niemand an die dialup-zeiten erinnern?
Mit Zitat antworten
  #7 (permalink)  
Alt 22-02-2006, 17:38
tomas
 Newbie
Links : Onlinestatus : tomas ist offline
Registriert seit: Jan 2006
Ort: Hagen
Beiträge: 30
tomas ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Hab dazu mal ne Frage, ich hab ein kleines Login Script nur für mich selber geschrieben, d.h. ich muss nur ein Passwort abfragen, habe dann einfach als <form action die datei angegeben in der geprüft wird ob das eingegebene pw mit dem das in einer sql datenbank liegt richtig ist oder nicht, also habe nichts von wegen SID in der url weitergeben etc.

ist das nun ein erhebliches sicherheitsrisiko ?
__________________
Wer glaubt etwas zu sein. hat aufgehört etwa zu werden!

Das beliebteste Haustier der Deutschen ist und bleibt das halbe Hähnchen
Mit Zitat antworten
  #8 (permalink)  
Alt 22-02-2006, 17:43
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ja... nein... such dir eine antwort aus, die dir gefällt.
ist es gefährlich auto zu fahren?
Mit Zitat antworten
  #9 (permalink)  
Alt 22-02-2006, 17:46
tomas
 Newbie
Links : Onlinestatus : tomas ist offline
Registriert seit: Jan 2006
Ort: Hagen
Beiträge: 30
tomas ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Oh ja

Nein ich mein das es nicht 100%ig sicher ist weiss ich schon...mich hat das nur grad zum Grübeln gebracht verstehste? Alle reden von Cookies oder SessionID und ich hab nix von beidem...
__________________
Wer glaubt etwas zu sein. hat aufgehört etwa zu werden!

Das beliebteste Haustier der Deutschen ist und bleibt das halbe Hähnchen
Mit Zitat antworten
  #10 (permalink)  
Alt 22-02-2006, 18:52
simond
 Registrierter Benutzer
Links : Onlinestatus : simond ist offline
Registriert seit: Feb 2006
Beiträge: 34
simond ist zur Zeit noch ein unbeschriebenes Blatt
Standard

aber meine frage wurde leider noch nicht richtig beantwortet. ich wollte wissen ob es besser ist zusätzlich mit session cookies zu arbeiten oder ausschließlich session über url. und ob trans sid besser ist als selber per code die session anzufügen.
Mit Zitat antworten
  #11 (permalink)  
Alt 22-02-2006, 19:15
penizillin
 PHP Guru
Links : Onlinestatus : penizillin ist offline
Registriert seit: Feb 2004
Beiträge: 10.166
penizillin ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ich glaube nicht, dass es eine antwort auf eine solche frage gibt.
überlege dir, was du brauchst, was du erreichen willst, was du dabei vernachlässigen darfst. jede lösung ist individuell.
Zitat:
und ob trans sid besser ist als selber per code die session anzufügen.
diese frage ist nicht korrekt gestellt und kann nicht beantwortet werden. versuch's noch mal.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

Adsman Pro - Werbe-Manager V.1.1.0

Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebigem Format, Textanzeigen und Page-Peels mit umfangreichen Text und Flash-Effekte.

30.07.2019 rhs | Kategorie: PHP/ Bannerverwaltung
HeidiSQL - kostenloses MySQL front-end Editor für Windows ansehen HeidiSQL - kostenloses MySQL front-end Editor für Windows

HeidiSQL - ist ein Windows-Editor für die bekannt open Source Datenbank mySQL

30.07.2019 Berni | Kategorie: MYSQL/ Management
Top-Side.de Php Guest Book

Gästebuch mit Smilies, Ip Sperre und Spammschutz. Anzeige von Datum, Name, E-Mail, Homepage und Icq. Html ist deaktiviert.

26.07.2019 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 14:17 Uhr.