php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben || php-forumjetzt anmelden
 

PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 17-12-2006, 16:15
deathcakeman
 Registrierter Benutzer
Links : Onlinestatus : deathcakeman ist offline
Registriert seit: Aug 2006
Beiträge: 134
deathcakeman ist zur Zeit noch ein unbeschriebenes Blatt
Standard sessioid neu setzen

wie kann ich bei meiner seiten, bei jedem seitenaufruf, bei welchem der user nicht eigeloggt ist, ihm eine neue sid zuweisen?
__________________
*blubb*
Mit Zitat antworten
  #2 (permalink)  
Alt 17-12-2006, 16:23
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard Re: sessioid neu setzen

Zitat:
Original geschrieben von deathcakeman
wie kann ich bei meiner seiten, bei jedem seitenaufruf, bei welchem der user nicht eigeloggt ist, ihm eine neue sid zuweisen?
Wozu?

session_regenerate_id
Mit Zitat antworten
  #3 (permalink)  
Alt 17-12-2006, 16:30
deathcakeman
 Registrierter Benutzer
Links : Onlinestatus : deathcakeman ist offline
Registriert seit: Aug 2006
Beiträge: 134
deathcakeman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

danke.

ich bracuhe es, um hijacking zu vermindern
__________________
*blubb*
Mit Zitat antworten
  #4 (permalink)  
Alt 17-12-2006, 17:17
deathcakeman
 Registrierter Benutzer
Links : Onlinestatus : deathcakeman ist offline
Registriert seit: Aug 2006
Beiträge: 134
deathcakeman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich habe jetzt noch folgendes problem.
Wenn jemand in der url die sid-var. verändert, dann wird er zum login umgeleitet. (weil ohne eine "extra function" passiert da ja nix)
Ich habs mit dem verscuht, aber es klappt net^^
hat jemand noch ne idee?

PHP-Code:
function checksessionid($location$sessionname$sessionid) {
if (isset(
$_GET['sid'])) 
{
$sid=$_GET['sid'];

else 
{
$sid="";
}
$sessionexist=mysql_query("SELECT * FROM sessions WHERE session_id = '$sid'");
$row=mysql_num_rows($sessionexist);
if (
$row <= 0)
{
$sessionok=false;
}
else {
$sessionok=true;
}
if(
$sessionok==false) {
header("Location: [url]http://[/url]".$location."/logout.php
?error=2&"
.$sessionname."=".$sessionid."");
}

__________________
*blubb*

Geändert von deathcakeman (17-12-2006 um 20:35 Uhr)
Mit Zitat antworten
  #5 (permalink)  
Alt 17-12-2006, 17:21
Griecherus
 PHP Senior
Links : Onlinestatus : Griecherus ist offline
Registriert seit: May 2005
Ort: Berlin
Beiträge: 1.036
Griecherus ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Mit "es klappt nicht" kann doch niemand etwas anfangen. Fehlermeldungen? Irgendwelche Hinweise? Debugausgaben gemacht?
Mit Zitat antworten
  #6 (permalink)  
Alt 17-12-2006, 17:34
deathcakeman
 Registrierter Benutzer
Links : Onlinestatus : deathcakeman ist offline
Registriert seit: Aug 2006
Beiträge: 134
deathcakeman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

der code wird inner endloseschleife ausgeführt.

naja, ich komm irgendwie net weiter.

gibts ne möglichkeit, wenn der client in der Url na andere sid eigibt, als für ihn registriert ist, das er zum login umgeleitet wird, etc.?
__________________
*blubb*
Mit Zitat antworten
  #7 (permalink)  
Alt 17-12-2006, 19:45
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von deathcakeman
ich bracuhe es, um hijacking zu vermindern
Was interessiert dich Hijacking bei einer leeren Session?
Beim Login einfach eine neue SID generieren, fertig
Davor kann der User doch eine SID haben wie er will

Zitat:
gibts ne möglichkeit, wenn der client in der Url na andere sid eigibt, als für ihn registriert ist, das er zum login umgeleitet wird, etc.?
Man kann keine SID für einen Client "registrieren". Du kannst die IP Überprüfen und wenn diese anders ist als in der Session, die Session neu generieren, aufgrund dynamischer ip-Adressen aber nur bedingt zu gebrauchen.
Generell ist eine Session nun mal leider nicht sonderlich sicher. Es lässt sich durch "nur Cookies" für die SID eingrenzen, genauso wie eben beschriebener Sicherheitsmechanismus über die IP, aber ganz sicher wirst du es nie kriegen...

Wie gesagt, um dem Hijacking entgegen zu wirken, reicht es BEIM Login die SID EINMAL neu zu generieren


und brich die lange Code-Zeile um. Ich hab Auflösung > 1024 und trotzdem einen horizontalen Scrollbalken (siehe Regeln -> Verboten)
Mit Zitat antworten
  #8 (permalink)  
Alt 17-12-2006, 22:57
3DMax
 PHP Senior
Links : Onlinestatus : 3DMax ist offline
Registriert seit: Jan 2004
Beiträge: 1.916
3DMax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von ghostgambler
Wie gesagt, um dem Hijacking entgegen zu wirken, reicht es BEIM Login die SID EINMAL neu zu generieren
aber nicht alle clients akzeptieren cookies, z.b. innerhalb von firmen-netzwerken oder (un)bewusst abgeschaltet.
um diese clients nicht auszuschließen, aber trotzdem für "sicherheit" zu sorgen, könnte ich es mir vorstellen, bei jedem request einer "scharfen" session (falls die session per get kommt) ein session_regenerate_id(true) auszuführen, beim login sowieso.
Mit Zitat antworten
  #9 (permalink)  
Alt 17-12-2006, 23:58
ghostgambler
 Master
Links : Onlinestatus : ghostgambler ist offline
Registriert seit: Jul 2004
Ort: DE - NRW
Beiträge: 4.620
ghostgambler ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von 3DMax
aber nicht alle clients akzeptieren cookies, z.b. innerhalb von firmen-netzwerken oder (un)bewusst abgeschaltet.
um diese clients nicht auszuschließen, aber trotzdem für "sicherheit" zu sorgen, könnte ich es mir vorstellen, bei jedem request einer "scharfen" session (falls die session per get kommt) ein session_regenerate_id(true) auszuführen, beim login sowieso.
es ging aber ja speziell um nicht-eingeloggte User, wo das ganze irgendwie keinen Sinn ergibt

Trans-id sollte man pro-sicherheit sowieso abschalten ^^,
Mit Zitat antworten
  #10 (permalink)  
Alt 18-12-2006, 15:33
deathcakeman
 Registrierter Benutzer
Links : Onlinestatus : deathcakeman ist offline
Registriert seit: Aug 2006
Beiträge: 134
deathcakeman ist zur Zeit noch ein unbeschriebenes Blatt
Standard

danke für eure hilfe,
aber ich glaube ich habe die Frage falsch formuliert^^

was ich meine ist:
So leute nehmen wir mal, in dr URl steht:
xxx.de/xx.php?sid=xxx

wenn jetzt jemand der eingeloggt ist
xxx.de/xx.php?sid=xxxy
macht dann soll de code ausgeführt. leider klappt das nich, da die seite, egal ob das zutrifft oder nicht, solange geladen wird, bis das laden abbricht.
Da kommt dann so ne alert meldung

PHP-Code:
function checksessionid($location$sessionname$sessionid) {
if (isset(
$_GET['sid']))
{
$sid=$_GET['sid'];
}
else
{
$sid="";
}
$sessionreg=true;
$checksesreg=mysql_query("SELECT * FROM sessions WHERE session_id = '$sessionid'");
while (
$row mysql_fetch_object ($checksesreg)) {
$sesreg=$row->username;
if (
$sesreg=="") {
$sessionreg=false;
}
}
if (
$sessionreg==true) {
if (
$sessionid!=$sid) {
header("Location: [url]http://[/url]".$location."/logout.php
?error=2&"
.$sessionname."=".$sessionid."");
}
}

__________________
*blubb*
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

OnPremise versus Cloud - das richtige System finden
Wir beleuchten in diesem Artikel, die Vor- und Nachteile für Cloud oder OnPremise Systemen. Und warum es definitiv Zeit wird in die Cloud zu wechseln.

09.05.2022 | julia_mjr

Warum Texterstellung mit künstlicher Intelligenz richtig gut ist
Warum Texterstellung mit künstlicher Intelligenz richtig gut istKünstliche Intelligenz ist dabei, die Welt zu erobern. Die größten Unternehmen entwickeln Systeme, die einen Text für Sie schreiben können. Und sie machen das sehr gut.

05.01.2022 | Berni


 

Aktuelle PHP Scripte

MyPHPlib-Bibliotheksverwaltung

MyPHPlib ist eine Scriptsammlung, mit der die Bibliotheksverwaltung incl. Ausleihe und Recherche gelingt. Die Scriptsammlung wird seit Mitte 2005 entwickelt und ist besonders an den Bedürfnissen von Schulen angepasst.

27.07.2022 RobertG | Kategorie: PHP/ Management
ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script ansehen ebiz-trader 6.0 - Das professionelle PHP Marktplatz Script

Mit unserer Lösungen können Sie nahezu jeden B2B / B2C Marktplatz betreiben den Sie sich vorstellen können. Ganz egal ob Sie einen Automarktplatz, Immobilenportal oder einfach einen Anzeigenmarkt betreiben möchten. Mit ebiz-trader können Sie Ihre Anforder

01.07.2022 Berni | Kategorie: PHP/ Anzeigenmarkt
NewsLetter Script PHP ansehen NewsLetter Script PHP

NewsLetter Script PHP is a simple email subscriptions newsletters script written in PHP and MySQL. Admin could send news in the letters to a mailing list of subscribed visitors. All the news and subscription form could be placed into a page of your web

28.06.2022 nevenov | Kategorie: PHP/ Mail
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 08:05 Uhr.