[PHP] SessionID übermitteln?

Dieses Thema im Forum "Webentwicklung" wurde erstellt von Atkaz, 11. September 2010 .

Schlagworte:
  1. 11. September 2010
    SessionID übermitteln?

    Hallo Leute,

    Ich habe mal ne Frage bezüglich der Session ID.
    Ich habe eine HP erstellt und arbeite überwiegend mit Sessions. Dabei werden diese mit session_start() gestartet und mit session_unset bzw. session_destroy() wieder gelöscht.

    Nun ist meine Frage, ob man die SessionID irgendwie übermittel muss z.B. per link ($_GET) oder nicht ?

    Da ich das nicht mache, sondern auf jeder Seite, wo die session bearbeitet werden muss die session mit session_start() starte, wollte ich fragen ob es nach meiner Vorgehensweise irgendwelche Probleme geben kann?
     
    + Multi-Zitat Zitieren
  3. 11. September 2010
    AW: SessionID übermitteln?

    Nein kann es nicht. Die SessionID muss nicht übergeben werden. Jeglich im PHP Dokument wo du mit den Sessions arbeiten musst oder du sessions erstellen willst, musst du halt session_start(); benutzen.
     
    + Multi-Zitat Zitieren
  4. 11. September 2010
    AW: SessionID übermitteln?

    Die SessionID wird in einen Cookie gepackt, wenn dieser nicht gesetzt werden kann, z.b. wenn der Besucher Cookies allgemein Verboten hat, dann wird bei jedem Aufruf eine neue Session erstellt und die Session-Daten können nicht abgerufen werden.

    In dem Fall muss die SessionID an die URL gehängt werden, was meiner Meinung nach unsicherer ist, da die Session im schlimmsten fall per Copy&Paste der URL von jemand anderes genutzt werden kann.
     
    + Multi-Zitat Zitieren
  6. 11. September 2010
    AW: SessionID übermitteln?

    Wenn man die Session ID wirklich per get übergeben will, könnte man ja die Session mit der IP verbinden. So würde man wieder einiges an sicherheit gewinnen
     
    + Multi-Zitat Zitieren
  7. 11. September 2010
    AW: SessionID übermitteln?

    Sollte man so oder so machen um ein Session hijacking zu verhindern.

    Ich schreibe die aktuelle SessionId in eine Session und die IP.
    Stimmt eines der Vergleiche nicht, hat der User keine Zugriffe mehr.
     
    + Multi-Zitat Zitieren
  8. 11. September 2010
    AW: SessionID übermitteln?

    Bleibt natürlich noch die Möglichkeit das der "Angreifer" im selben Netzwerk sitzt. Aber die Wahrscheinlichkeit ist natürlich sehr gering, aber möglich!
     
    + Multi-Zitat Zitieren
  9. 14. September 2010
    AW: SessionID übermitteln?

    ich könnte fast jeden beitrag kritisieren, aber das lassen wir erstmal.

    wichtig! merkt euch:
    1. session erst dann starten, wenn es nötig ist d.h.
    - wenn ein benutzer sich erfolgreich angemeldet/eingeloggt hat
    - wenn eine sid in cookie/url existiert und auch gültig ist
    nicht einfach session_start und los gehts!
    2. sessionid in ein cookie packen wegen seo und evtl. hijacking wenn man einen link weitergibt
    3. nicht immer an eine ip festbinden(proxy)! es gibts viele andere merkmale (user-agent: browser, auflösung, os und co)

    entscheidet euch für eine sache: sessionid in url oder cookie!
    ich würde cookie empfehlen. setzt dazu noch ein weiteres cookie um feststellen zukönnen ob die sid dem benutzer gehört. die jenigen die cookies blockieren, haben halt pech. cookie oder kein service, das muss der user entscheiden.

    weiteres folgt... mfg funland
     
    + Multi-Zitat Zitieren
  10. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten