Mailinglisten-Archive |
lists at darknoise.de wrote: > Hallo liebe Liste, > > ich habe eine kleine Frage zur Manipulierbarkeit von Sessions. > Wir legen einige Daten zu einem angemeldeten Benutzer aus $_SESSION > direkt für SQL-Statements u.ä. > Ich bin nun der Meinung die direkte Verwendung der Daten könnte > Injections ermöglichen. > > Ist das der Fall, oder geht das nicht? > Mir ist klar, dass jederzeit die Session-ID manipuliert > oder gesnifft werden kann, aber darum geht's mir hierbei nicht. > > > Danke im Voraus! > Das liegt ganz dran wo die session liegt und wer drauf zugreifen kann. Sinnvollerweise sollte die Session auf deinem Server liegen und nicht beim Client, dann kann auch niemand die Daten ändern (Injektion). Der einzige Zugriff ist www-data erlaubt. Auch wenn die ID dann gesnifft wird, erlangt der Hacker lediglich den Zugriff auf diverse Bereiche. Evtl. hilft dir aber ein wenig https zur zusätzlichen Absicherung. Die Session (Cookie) beim User zu speichern ist da doch wesentlich riskanter, wenn ich an die Löcher in M$ vs. paranoide Pinguine denke ;) Gruss, Gerd -- # Gerd Terlutter | Müller+Blanck Software GmbH # # office:+49 40 500 171-1| http://www.mplusb.de #
php::bar PHP Wiki - Listenarchive