Tweet
Original geschrieben von TobiaZ
Woran erkennt man, ob eine Session gestartet wurde? Richtig an der SessionID. Folglich startet man die Session nur, wenn eine ID vorhanden ist. Fettig.
Vorher solltest du aber noch einige "Sicherheitsvorkehrungen" treffen, den ansonsten geht das ganze (wie Combie schon gesagt hat) schnell nach hinten los.
Woran erkennt man, ob eine Session gestartet wurde? Richtig an der SessionID. Folglich startet man die Session nur, wenn eine ID vorhanden ist. Fettig.
Vorher solltest du aber noch einige "Sicherheitsvorkehrungen" treffen, den ansonsten geht das ganze (wie Combie schon gesagt hat) schnell nach hinten los.
Habe gerade mal grob getestet. D.h., mein Login-Vorgang startet erstmal die Session. Und auf den Folgeseiten wird dann überprüft, ob $_COOKIE['s'] oder $_GET['s'] existieren (habe meine Session per session_name() "s" genannt) und macht ggf session_start()?
Sicherheitsvorkehrungen = z.B. die Session Datenbank-gesteuert an IP + User Agent binden? Oder/und noch einen Timeout dazu.
Kommentar