phpbar.de logo

Mailinglisten-Archive

[php] AOL User

[php] AOL User

teravolt at gmx.de teravolt at gmx.de
Mit Jun 16 19:33:11 CEST 2004


> Hallo,
Hallo

> Dies macht mir meine Userverfolgung schwer. Ich kann nun nicht die
> IP-Adresse
> + Session ID + Browser in einer Datenbank speichern und prüfen ob der
User
> auch wirklich der User ist, der er sein soll.
>
> Wie macht ihr das. Es geht mir in erster Linie darum, dass man die
> Session-ID
> nicht an einen anderen User ausversehen weitergibt und dieser dann mit
den
> falschen Daten eingeloggt ist.

IMHO gibt es nur die Möglichkeit von den HTTP Header Angeben wie Accept,
Accept-Language, Accept-Encoding und User-Agent eine checksum z.B. mit
md5() zu generieren und diese in die Session zu speichern. Wenn dieser
Wert sich ändert wird die Session gelöscht.

Eine 100% Sicherheit bietet das natürlich nicht. Aber es verhindert
zumindest das wenn jemand eine URI mit seiner Session ID irgendwo
veröffentlicht, nicht jeder diese Session zugewiesen bekommt wenn er der
URI folgt.

MfG
Daniel



php::bar PHP Wiki   -   Listenarchive