php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #1 (permalink)  
Alt 27-04-2008, 00:07
No-Time
 Newbie
Links : Onlinestatus : No-Time ist offline
Registriert seit: Apr 2008
Beiträge: 2
No-Time ist zur Zeit noch ein unbeschriebenes Blatt
Standard Login Frage

Hallo Liebe User?
wollte mal fragen wie ich das machen kann ,das wen sich ein user 20minuten nicht auf meiner page bewegt das er sich dan neu anmelden mus ??bitte gut erklären anfänger

gruß No-Time
Mit Zitat antworten
  #2 (permalink)  
Alt 27-04-2008, 00:18
E.T.
 Registrierter Benutzer
Links : Onlinestatus : E.T. ist offline
Registriert seit: Nov 2003
Beiträge: 240
E.T. ist zur Zeit noch ein unbeschriebenes Blatt
E.T. eine Nachricht über ICQ schicken
Standard

Wie ist die Userverwaltung bei dir aufgebaut? Geht es über die Server Sessions oder nur über Cookies, oder über etwas Anderes?
__________________
Download ET-Chat v3.x.x
Mit Zitat antworten
  #3 (permalink)  
Alt 27-04-2008, 00:27
No-Time
 Newbie
Links : Onlinestatus : No-Time ist offline
Registriert seit: Apr 2008
Beiträge: 2
No-Time ist zur Zeit noch ein unbeschriebenes Blatt
Standard

ich habe noch garnix wollte nur fragen wie ich das machen soll,habe in der DB schon id,username,und pass mus ich dafür noch sessionsid rein machen oder was ? am besten ohne cokis hab kp davon !

Gruß No-Time
Mit Zitat antworten
  #4 (permalink)  
Alt 27-04-2008, 00:56
Griecherus
 PHP Senior
Links : Onlinestatus : Griecherus ist offline
Registriert seit: May 2005
Ort: Berlin
Beiträge: 1.036
Griecherus ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von No-Time
iam besten ohne cokis hab kp davon !
Früher oder später (tendenziell früher) wirst du dich eh damit beschäftigen müssen. Dann am besten doch gleich, oder?

Zu deiner Frage:
Du könntest das beispielsweise so lösen:
Zwei Parameter anlegen,
  1. last_action in der Session (das ist der Zeitpunkt als Unix Timestamp, an dem der Benutzer sich das letzte Mal auf der Seite "bewegt" hat.
  2. Einen Konfigurationseintrag max_idle_time (gibt an, nach wieviel Sekunden der Inaktivität die Session des Benutzers abläuft.
Bei richtiger Zusammenarbeit verraten dir diese beiden Parameter, ob eine Sitzung bereits abgelaufen ist. Und das ist genau dann der Fall, wenn die Summe aus last_action und max_idle_time größer ist, als der aktuelle Timestamp (Zeitstempel).

Grüße
Mit Zitat antworten
  #5 (permalink)  
Alt 27-04-2008, 01:58
PHP-Desaster
 PHP Expert
Links : Onlinestatus : PHP-Desaster ist offline
Registriert seit: Mar 2006
Beiträge: 3.105
PHP-Desaster befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Bei richtiger Zusammenarbeit verraten dir diese beiden Parameter, ob eine Sitzung bereits abgelaufen ist. Und das ist genau dann der Fall, wenn die Summe aus last_action und max_idle_time größer ist, als der aktuelle Timestamp (Zeitstempel).
Nop, der Wert ist kleiner, wenn die Sitzung abgelaufen ist!
Mit Zitat antworten
  #6 (permalink)  
Alt 27-04-2008, 02:11
Griecherus
 PHP Senior
Links : Onlinestatus : Griecherus ist offline
Registriert seit: May 2005
Ort: Berlin
Beiträge: 1.036
Griecherus ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von PHP-Desaster
Nop, der Wert ist kleiner, wenn die Sitzung abgelaufen ist!
Natürlich Ich sollte mal wieder schlafen gehen...
Mit Zitat antworten
  #7 (permalink)  
Alt 27-04-2008, 12:03
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

PHP-Code:
define('MY_SESSION_LIFETIME'      20*60);  // in Sekunden

ini_set('session.gc_divisor'      ,1); // 1:1 
ini_set('session.gc_probability'  ,1); // 1:1 
ini_set('session.gc_maxlifetime'  ,MY_SESSION_LIFETIME); // mindestlebenzeit der Sessiondaten
ini_set('session.use_cookies'     ,1); // Nur cookies
ini_set('session.use_only_cookies',1); // Nur cookies
ini_set('session.use_trans_sid'   ,0); // Nur cookies
ini_set('session.cookie_lifetime' ,MY_SESSION_LIFETIME); // Cookie frühzeitig löschen

session_start();
session_regenerate_id(); // cookieklau erschweren 
Hier mit ist garantiert (so gut es PHP eben zuläßt), dass die Session exakt 20 Minuten nach der letzten Aktion ungültig wird.

Seiteneffekte:
1. Da der GC-Lauf jedesmal erzwungen wird: Performance verluste.
2. Schließen des Browsers hat keine Auswirkung mehr auf die Lebenszeit der Session
3. Diese Einstellungen wirken sich teilweise auch auf andere Sessions aus, welche im selben Ordner liegen
4. Cookieverweigerer bleiben draussen
__________________
Wir werden alle sterben

Geändert von combie (27-04-2008 um 12:14 Uhr)
Mit Zitat antworten
  #8 (permalink)  
Alt 27-04-2008, 12:18
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

OffTopic:
Zitat:
4. Cookieverweigerer bleiben draussen
Hängst du noch SIDs in die Urls?
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
  #9 (permalink)  
Alt 27-04-2008, 12:28
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
Hängst du noch SIDs in die Urls?
Ich habe das große Glück, dass ich relativ gut geschützte Applikationen entwickeln darf.

Und nein! Keine SID in der URL.
Weil:
1. ist die versehendliche Sessionübernahme damit nahezu ausgeschlossen
2. Keine SID im Suchemaschinenergebnissen. Das hat den Vorteil dass diese keinen doppelten bzw. vielfachen Content finden und damit die gefundene Seite nicht herabstufen.

Vorschlag:
1. Gäste und Sumas surfen grundsätzlich ohne Sessons
2. Bei unwichtigen Seiten/Sessiondaten und angemeldeten Usern könnte man TransSID noch durchgehen lassen
3. Admins oder andere wichtige Personen, nur per Cookie
4. suhosin installieren, u.a. verschlüsselt es die Sessiondaten und die SID
__________________
Wir werden alle sterben
Mit Zitat antworten
  #10 (permalink)  
Alt 27-04-2008, 12:34
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Und nein! Keine SID in der URL.
Wollt schon sagen, ohne Cookie gibts halt keinen Login.
Zitat:
4. suhosin installieren, u.a. verschlüsselt es die Sessiondaten
Was hab ich von verschlüsselten Daten auf dem Server?
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
  #11 (permalink)  
Alt 27-04-2008, 12:51
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Aus einem Artikel, von mir, zu dem Thema..
Zitat:
Der neugierige Domainnachbar
Klar, der Server Nachbar hat auch PHP und kennt ebenfalls Sessions. Für ihn ist es kein Problem sich alle Dateien im temporären Ordner (session_path) anzuschauen. Nunja, kann er sie sehen? Dann kennt er schon mal einen Haufen SessionIds von dir. Wenn er dann auch noch die Datei einsehen kann, oha, evtl. gar schreiben oje oje oje..
Das ist ein Konfigurationsproblem und sollte vom Provider behoben werden.
Also:
Nach der Installation des Patches gibt es keine offensichtliche 1:1 Beziehung zwischen der SID und benennung der Sessiondatei.
Bei einer versehendliche/absichtlichen Sessionübernahme besteht eine große Chance, dass dann die Sessiondaten nicht übernommen werden, weil der Verschlüsselungs Key nicht passt.


PS:
Achja..
Wenn man schon so weit geht, sollte man auch auf SSL bzw. HTTPS setzen.
__________________
Wir werden alle sterben

Geändert von combie (27-04-2008 um 12:53 Uhr)
Mit Zitat antworten
  #12 (permalink)  
Alt 27-04-2008, 17:01
tontechniker
 PHP Senior
Links : Onlinestatus : tontechniker ist offline
Registriert seit: Jul 2005
Beiträge: 1.972
tontechniker ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Nach der Installation des Patches gibt es keine offensichtliche 1:1 Beziehung zwischen der SID und benennung der Sessiondatei. Bei einer versehendliche/absichtlichen Sessionübernahme besteht eine große Chance, dass dann die Sessiondaten nicht übernommen werden, weil der Verschlüsselungs Key nicht passt.
Das kann ich ja noch verstehen, wobei man da ja eine eigene Prüfung auf einen Key (IP/Browser/etc) machen kann - ist denk ich ähnlich effektiv.
Zitat:
Für ihn ist es kein Problem sich alle Dateien im temporären Ordner (session_path) anzuschauen.
Wer auf seinem Server suhosin installiert hat entweder einen eigenen und damit sicher kein Problem oder ist sich der Gefahr insoweit bewusst, dass er sicherlich den session_path nicht fehlkonfiguriert.
__________________
Die Regeln | rtfm | register_globals | strings | SQL-Injections | []
Mit Zitat antworten
  #13 (permalink)  
Alt 27-04-2008, 17:12
combie
 PHP Expert
Links : Onlinestatus : combie ist offline
Registriert seit: May 2006
Beiträge: 3.296
combie wird schon bald berühmt werden
Standard

Zitat:
wobei man da ja eine eigene Prüfung auf einen Key (IP/Browser/etc) machen kann
Was ist wenn dein Script nicht ausgeführt wird...
dann kannst du auch nix prüfen.

Zitat:
ist sich der Gefahr insoweit bewusst
Dein Wort in Gottes Gehörgang....
__________________
Wir werden alle sterben
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

Die RIGID-FLEX-Technologie
Die RIGID-FLEX-TechnologieDie sogenannte "Flexible Elektronik" , oftmals auch als "Flexible Schaltungen" bezeichnet, ist eine zeitgemäße Technologie zum Montieren von elektronischen Schaltungen.

06.12.2018 | Berni

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni


 

Aktuelle PHP Scripte

HeidiSQL - kostenloses MySQL front-end Editor für Windows ansehen HeidiSQL - kostenloses MySQL front-end Editor für Windows

HeidiSQL - ist ein Windows-Editor für die bekannt open Source Datenbank mySQL

10.12.2018 Berni | Kategorie: MYSQL/ Management
piwik Open-Source Webanalyse-Software ansehen piwik Open-Source Webanalyse-Software

piwik ist eine gute Alternative zu Google Analytics. Viele Features und ein modernes Erscheinungsbild mit aussagefähigen Statistiken in Echtzeit

10.12.2018 phpler | Kategorie: PHP/ Besucherzaehler
jQuery Mobile ansehen jQuery Mobile

Touch-Optimized Web Framework für Smartphones & Tablets

09.12.2018 phpler | Kategorie: AJAX/ Framework
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 07:29 Uhr.