php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 15-01-2008, 19:00
Stonebreaker62
 Member
Links : Onlinestatus : Stonebreaker62 ist offline
Registriert seit: Apr 2005
Beiträge: 161
Stonebreaker62 ist zur Zeit noch ein unbeschriebenes Blatt
Standard Sicherheit von $_SESSION Variablen

Hallo,

ich generiere per php SQL SELECT Statements, die ich in einer $_SESSION Variablen speichere. Je nachdem, welche Seite der Benutzer anfordert, setze ich dann ich nächsten Dialogschritt offset und limit neu und hänge diese Werte an die SELECT Statements dran.

Gehe ich damit ein Sicherheitsrisiko ein, weil $_SESSION Variablen angeblich nicht sicher sind?
Mit Zitat antworten
  #2 (permalink)  
Alt 15-01-2008, 19:14
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Abgesehen davon, dass sich das nach einem ziemlich hässlichen Design anhört, nein. Die $_SESSION Variablen liegen auf dem Server. Es kann nur die Möglichkeit bestehen Sessions von anderen Benutzern über präperiete oder gepostete Links zu übernehmen.
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
  #3 (permalink)  
Alt 15-01-2008, 19:15
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard Re: Sicherheit von $_SESSION Variablen

Zitat:
Gehe ich damit ein Sicherheitsrisiko ein, weil $_SESSION Variablen angeblich nicht sicher sind?
Steht wo?
Mit Zitat antworten
  #4 (permalink)  
Alt 15-01-2008, 19:19
Stonebreaker62
 Member
Links : Onlinestatus : Stonebreaker62 ist offline
Registriert seit: Apr 2005
Beiträge: 161
Stonebreaker62 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich weiss nicht mehr, wo ich das gelesen habe - wahrscheinlich hier igrndwo im Forum.

An Tontechniker: was spricht gegen dieses Design? Irgendwo muß ich doch zwischenspeichern, was der Benutzer vorher verlangt hat, wenn er auf die nächste Seite weiterblättern will.
Mit Zitat antworten
  #5 (permalink)  
Alt 15-01-2008, 19:22
IchBinIch
 Registrierter Benutzer
Links : Onlinestatus : IchBinIch ist offline
Registriert seit: Apr 2003
Beiträge: 324
IchBinIch ist zur Zeit noch ein unbeschriebenes Blatt
Standard

immer diese Unwahrheiten im Netz. Und Leute die alles glauben, anstatt es in Frage zu stellen.

Zum Thema Design: Du speicherst nur die Werte die Angefragt wurden in die Session. Der Rest vom Query bleibt im Script.
__________________
ICH BIN ICH!!!
Mit Zitat antworten
  #6 (permalink)  
Alt 15-01-2008, 19:35
Stonebreaker62
 Member
Links : Onlinestatus : Stonebreaker62 ist offline
Registriert seit: Apr 2005
Beiträge: 161
Stonebreaker62 ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Da ich die anzeige-Methode (z. B. für Kontakte) für unterschiedlichste Abfragen nutzen wollte, habe ich sie in ein Objekt gepackt. Diese Methode nimmt sich dann aus den Session-Variablen $_SESSION['letze_abfrage'] und $_SESSION['sortierung'] die Werte aus der letzten Anzeige und setze den neuen Offset dahinter. Wenn der Benutzer eine andere Sortierung will, ändere ich z.B. nur den Wert in $_SESSION['sortierung'].

Dachte eigentlich, dass das im Sinne von Code-Mehrfachverwendung so optimal ist, lasse mich aber gerne eines Besseren belehren.
Mit Zitat antworten
  #7 (permalink)  
Alt 15-01-2008, 19:51
IchBinIch
 Registrierter Benutzer
Links : Onlinestatus : IchBinIch ist offline
Registriert seit: Apr 2003
Beiträge: 324
IchBinIch ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Ich würde mal behaupten, dass das genau das Gegenteil von Code-Mehrfachverwendung ist. Schließlich hast du für jeden User einen eigenen Code. Anstatt ihn Zentral im Script zu hinterlegen und nur noch mit Werten zu füllen.
__________________
ICH BIN ICH!!!
Mit Zitat antworten
  #8 (permalink)  
Alt 15-01-2008, 20:08
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Also.. session Sicherheit:
1. Vor dem ServerAdmin ist nichts sicher...
2. Sessions kann man Hijacken, das ist aber ein ganz anderes Problem

Und SQL in Session:
Nunja, ob das nötig ist...
Der Status einer Anwendung/Session sollte darin gehalten werden!
Auch ein User oder Warenkorb Objekt wäre da gut aufgehoben.
__________________
Wir werden alle sterben
Mit Zitat antworten
  #9 (permalink)  
Alt 15-01-2008, 20:13
3DMax
 PHP Senior
Links : Onlinestatus : 3DMax ist offline
Registriert seit: Jan 2004
Beiträge: 1.916
3DMax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von combie
Also.. session Sicherheit:
1. Vor dem ServerAdmin ist nichts sicher...
es muss nicht mal der admin sein.
bei mehrbenutzer-hosting und "schlecht" konfiguriertem (gemeinsamen) session.save_path kann _jeder_ benutzer die session manipulieren.
Mit Zitat antworten
  #10 (permalink)  
Alt 15-01-2008, 20:26
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Für solch fürchterliche konfigurations Schlappen darf man PHP nicht verantwortlich machen...
Und sollte in der Praxis nicht auftreten.
(Sonst bitte den Provider vierteilen!!)
__________________
Wir werden alle sterben
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

ADSMAN V3 - Werbe-Manager ansehen ADSMAN V3 - Werbe-Manager

ADSMAN V3 - mehr als nur ein Bannermanager! Banner, Textanzeigen und PagePeel Manager! Mit ADSMAN PRO haben Sie die Marketinglösung für eine effektive und effiziente Werbeschaltung mit messbaren Ergebnissen. Unterstützt werden Bannerformate in beliebi

25.10.2018 virtualsystem | Kategorie: PHP/ Bannerverwaltung
PHP News und Artikel Script V2

News schreiben, verwalten, veröffentlichen. Dies ist jetzt mit dem neuen PHP News & Artikel System von virtualsystem.de noch einfacher. Die integrierte Multi-User-Funktion und der WYSIWYG-Editor (MS-Office ähnliche Bedienung) ermöglichen...

25.10.2018 virtualsystem | Kategorie: PHP/ News
Top-Side Guestbook

Gästebuch auf Textbasis (kein MySQL nötig) mit Smilies, Ip Sperre (Zeit selbst einstellbar), Spamschutz, Captcha (Code-Eingabe), BB-Code, Hitcounter, Löschfunktion, Editierfunktion, Kommentarfunktion, Kürzung langer Wörter, Seiten- bzw. Blätterfunktion, V

22.10.2018 webmaster10 | Kategorie: PHP/ Gaestebuch
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 05:05 Uhr.