php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Bewertung: Bewertung: 1 Stimmen, 5,00 durchschnittlich.
  #1 (permalink)  
Alt 07-11-2007, 04:37
aXu
 Newbie
Links : Onlinestatus : aXu ist offline
Registriert seit: Oct 2007
Ort: CH
Beiträge: 47
aXu ist zur Zeit noch ein unbeschriebenes Blatt
Standard [PHP5] Anfängerfragen zu session's

Moin Leute

Ich habe eine Frage, aber zuerst möchte ich rasch erklären was ich überhaupt machen mächte

Ich habe vor, eine kleine Seite zu machen, auf welcher man sich einloggen kann um erweiterte Funktionen zu nutzen. Ich hab vor ner weile angefangen an dem Script zu basteln und es funzt soweit auch.
Bisher erfolgt die Authentifizierung nur durch 2 Cookies. das eine ethält die Userid und das andere den Passwort-Hash. Somit mir am beginn des Scriptes jeweis eine SQL-Abfrage gemacht, welche Rechte der User hat und ob er aktiviert oder gebannt ist. Funzt eigentlich recht gut.
Nun zu der Frage:
Wäre die verwendung der Session-Funktion einfacher zu handhaben?
Wäre die verwendung der Session-Funktion schneller?
Kann ich bei der Session-Funktion frei wählen was übergeben wird?
Kann ich änderungen der berechtigung machen während der User online ist? (er würde es dann beim nächsten aktualisieren der seite sehen)
Greift der Bann per sofort wenn ich den User über den SQL-Eintrag banne und seine session-ID lösche?

Viele Fragen ich weiss, aber für einen Pro sicher sehr schnell beantwortet.
Ich muss gestehen, das ich mich mit der Session-Funktion noch überhaupt nicht auseinandergesetzt habe. Eigentlich sollte das script von nur einem oder zwei usern verwendet werden um eine gallerie zu verwalten.
Nun möchte ich das ganze aber auch in einem grösseren Projekt verwenden das deutlich mehr User hat.

Bei Fragen Fragen. Achja: eingesetzt wird apache, php5 und sql5 (jeweils aktuelle versionen )

lg aXu
Mit Zitat antworten
  #2 (permalink)  
Alt 07-11-2007, 05:08
Bersi667
 Newbie
Links : Onlinestatus : Bersi667 ist offline
Registriert seit: Mar 2007
Ort: Geldern/Duisburg
Beiträge: 87
Bersi667 ist zur Zeit noch ein unbeschriebenes Blatt
Bersi667 eine Nachricht über ICQ schicken
Standard

Hey,
also..zu deiner Frage, ob Sessions besser zu handhaben sind... die Antwort lautet eher ... jain... einfacher zu handlen find ich sie persönlich schon, allerdings musst du iwie sicher stellen, dass die Session nicht geklaut wurde, leider verändern einige ISP's wie etwa AOL, die IP-Adresse und auch den User-Agent während der Sitzung, also dürfte es nahezu unmöglich sein, die Session an eine IP oder an den Browser zu binden, insofern sind Cookies schon besser...
Also ich speichere das Passwort überhaupt nicht im Cookie, bei mir gibts nur die verschlüsselte User-ID...den Rest erledige ich immer über das Datenbank-Backend.. So musst du halt nur eine User-Variable überprüfen...die restlichen Informationen rufst du dann über die User-ID aus der Datenbank ab.

Wenn der Bann sofort greifen soll, fällt mir spontan ein, dass du eine Datenbank-Spalte mit 'user_logged', benennst, da speicherst du einen bool'schen Wert, also entweder 'true' wenn der User online ist oder 'false' wenn er nicht angemeldet ist, wenn du einen User dann schmeissen möchtest, setzt du z.b. per Formular den Wert auf false, lässt dann beim ziehen der User-Informationen aus der Datenbank das ganze über
PHP-Code:
SELECT FROM user WHERE user_id '$user_id' AND logged 'true' 
bestimmen...
Dann setzt du halt die Cookie-Verfallszeit auf, als Beispiel, eine Stunde in der Vergangenheit und Ende...
Dürfte eigentlich kein sooo schlechter Ansatz sein...
Hoffe, du kannst damit was anfangen..
OffTopic:
Gute Nacht

Grüße, Dennis
__________________
Musik beflügelt unseren Geist
Mit Zitat antworten
  #3 (permalink)  
Alt 07-11-2007, 05:26
aXu
 Newbie
Links : Onlinestatus : aXu ist offline
Registriert seit: Oct 2007
Ort: CH
Beiträge: 47
aXu ist zur Zeit noch ein unbeschriebenes Blatt
Standard

das würde dann heissen, ich soll so weitermachen wie bisher?

wenn du nur das pw speicherst, ist das nicht etwas "heiss"?
okay, da wäre die möglichkeit einen Algorithmus zu entwerfen.. Aber das würde dann heissen, das wirklich bei jedem seitenaufruf das ganze geprüft wird. dachte das könnte ich per session verhindern...
Mit Zitat antworten
  #4 (permalink)  
Alt 07-11-2007, 08:28
dani_o
 PHP Senior
Links : Onlinestatus : dani_o ist offline
Registriert seit: Jun 2003
Ort: Lichtenstein/Sa.
Beiträge: 1.599
dani_o befindet sich auf einem aufstrebenden Ast
Standard

Ich persönlich nutze lieber sessions - ma so nebenbei bemerkt - okay cookies sind toll, allerdings speichere ich bsp die Userdaten in ner session mit nem individuellen string ;-)
__________________
Signatur-Text ...
Mit Zitat antworten
  #5 (permalink)  
Alt 07-11-2007, 08:49
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Daten, denen du vertrauen willst, gehören Serverseitig gespeichert, also in die Session damit!
Da immer noch ein paar Leutchens ohne Cookies durch die Welt wandern, brauchst du bei deiner Lösung auch einen Workaround, um die Userid und den PW-Hash per GET oder sonstwie weiterzugeben. Das ist in der Session schon komplett implementiert (wenn du das Rewriting aktiv hast, sonst SID an die Links ankleben).
Auf solche Cookielösungen würde ich generell verzichten und die Session nutzen! Spätestens, wenn du auch mal mehr, als nur eine ID irgendwo speichern willst, musst du dir wieder ein neues Cookie anlegen, die Datenbank nutzen oder whatever!

Grundlagen lernen, Session einsetzen!
Mit Zitat antworten
  #6 (permalink)  
Alt 07-11-2007, 09:08
aXu
 Newbie
Links : Onlinestatus : aXu ist offline
Registriert seit: Oct 2007
Ort: CH
Beiträge: 47
aXu ist zur Zeit noch ein unbeschriebenes Blatt
Standard

und was ist mit dem einwand:
Zitat:
einfacher zu handlen find ich sie persönlich schon, allerdings musst du iwie sicher stellen, dass die Session nicht geklaut wurde, leider verändern einige ISP's wie etwa AOL, die IP-Adresse und auch den User-Agent während der Sitzung, also dürfte es nahezu unmöglich sein, die Session an eine IP oder an den Browser zu binden, insofern sind Cookies schon besser...
Mit Zitat antworten
  #7 (permalink)  
Alt 07-11-2007, 09:16
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Wenn du jetzt eine Session verwendest und der User keine Cookies akzeptiert, wird die SID in der URL übergeben. Wenn du jetzt jemandem diese URL schickst und der sie verwendet, solange du zum Beispiel noch angemeldet bist, kann der andere User deinen Login verwenden, da er deine SID kennt.
Das gleiche geht aber auch, wenn dein "böser" Freund dir deine Cookies ansieht, beispielsweise mit der Webdeveloper Toolbar. Dann kann er dir auch deine User-ID mopsen. (Szenario: Internetcafé)
Als Pseudoschutz vor diesem Diebstahl merken sich viele die IP des Users in der Session. Ändert sich diese, wird die Session geleert, keiner kann deinen Login klauen. Da manche Anbieter, zum Beispiel AOL, aber mal "einfach so" deine IP ändern, während du am Surfen bist, ist dies natürlich eher hinderlich, da das System denkt, du klaust die Session!
Aber bei deinem Session-Mini-Nachbau (nichts anderes ist deine Cookielösung) existiert genau das selbe Problem!
Nutz die Session und überleg dir lieber andere Schutzmechanismen. Ich persönlich habe aber noch nie die Erfahrung gemacht, das jemand eine Session übernimmt. Viel wichtiger ist das vernünftige Behandeln von SQL-Injections und anderen, viel größeren Sicherheitslücken!
Mit Zitat antworten
  #8 (permalink)  
Alt 07-11-2007, 09:43
aXu
 Newbie
Links : Onlinestatus : aXu ist offline
Registriert seit: Oct 2007
Ort: CH
Beiträge: 47
aXu ist zur Zeit noch ein unbeschriebenes Blatt
Standard

hm.. okey, werde dann mal in der literatur zum thema session nachschlagen.

wegen den eingaben: ich verwende standardmässig stripslashes(htmlentities()) auf jegliche eingaben. dazu werden keine undefinierten variablen verwendet und ich versuchte möglichst alles safe_mod kompatibel zu coden. denke ich bin da auf einem guten weg oder?

//edit

wenn die unterlagen stimmen, dann kann der User die Daten in der Session in keinem fall verändern?

Geändert von aXu (07-11-2007 um 10:41 Uhr)
Mit Zitat antworten
  #9 (permalink)  
Alt 07-11-2007, 11:17
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
wegen den eingaben: ich verwende standardmässig stripslashes(htmlentities()) auf jegliche eingaben.
Dazu gibt es die Escape-Funktionen, z.B. mysql_real_escape_string.
Zitat:
dazu werden keine undefinierten variablen verwendet
Sowieso immer Pflicht!
Zitat:
und ich versuchte möglichst alles safe_mod kompatibel zu coden.
Diese Orientierung kann imho zu einem besseren Programmierstil verhelfen!
Zitat:
wenn die unterlagen stimmen, dann kann der User die Daten in der Session in keinem fall verändern?
Richtig!
Mit Zitat antworten
  #10 (permalink)  
Alt 07-11-2007, 12:13
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
und ich versuchte möglichst alles safe_mod kompatibel zu coden.
Naja....
Eine der dümmsten Erfindungen der PHP Entwickler.. und wird zum Glück mit magic_quotes in PHP6 abgeschafft.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #11 (permalink)  
Alt 07-11-2007, 12:30
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Naja....
Eine der dümmsten Erfindungen der PHP Entwickler.. und wird zum Glück mit magic_quotes in PHP6 abgeschafft.
In Version 6 verliert PHP zum Glück einige Kinderkrankheiten!
Aber als Orientierung finde ich safe_mode ok, also vernünftige Dateizugriffe etc.
Mit Zitat antworten
  #12 (permalink)  
Alt 07-11-2007, 12:57
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
also vernünftige Dateizugriffe etc.
Klar!! ??? !!

Verzeichnisse und Dateien IMMER mit den FTP-Funktionen erzeugen, damit man sie mit den PHP-Filesystemfunktionen dann wieder lesen kann
sehr witzig

Sorry, für den Sarkasmus, aber der Safemode hat mich schon öfter Wahnsinnig gemacht. Auf meinem Server lief auch ursprünglich PHP als Modul im Safemode. Habe ich mittlerweile umgestellt. suPHP ist für mich das Mittel der Wahl.
  • das Linux Rechtesystem greift
  • kein Basedir notwendig
  • z.Z. 5 verschiedene PHP Versionen installiert(auch PHP6)
  • leider deutlich lahmer !!!!!
__________________
Wir werden alle sterben

Geändert von combie (07-11-2007 um 13:03 Uhr)
Mit Zitat antworten
  #13 (permalink)  
Alt 07-11-2007, 13:08
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Hmm, ich habe mir safemode grad nochmal angesehen und ich muss mich korrigieren. Ist natürlich Unsinn! Darum: Was heißt denn "und ich versuchte möglichst alles safe_mod kompatibel zu coden"??
Mit Zitat antworten
  #14 (permalink)  
Alt 07-11-2007, 14:51
aXu
 Newbie
Links : Onlinestatus : aXu ist offline
Registriert seit: Oct 2007
Ort: CH
Beiträge: 47
aXu ist zur Zeit noch ein unbeschriebenes Blatt
Standard

okay, ist relativ einfach. ich teste und entwickle mein tool im safe_mod. egal ob danach auf dem zielsystem der safe_mod aktiv ist oder nicht. oder mach ich da einen überlegungsfehler?
Mit Zitat antworten
  #15 (permalink)  
Alt 07-11-2007, 15:23
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Hmmm...
Ich schreibe grundsätzlich nicht für den Safemode!! Wenn es dann wirklich unbedingt gewünscht wird, gibts Spezialanpassungen. Aber es ist längst nicht alles machbar!!
__________________
Wir werden alle sterben
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 04:52 Uhr.