phpbar.de logo

Mailinglisten-Archive

[php] Sicherheit der Daten in Session

[php] Sicherheit der Daten in Session

Gerd Terlutter gerd at MplusB.de
Fre Jun 25 12:12:45 CEST 2004


lists at darknoise.de wrote:
> Hallo liebe Liste,
> 
> ich habe eine kleine Frage zur Manipulierbarkeit von Sessions.
> Wir legen einige Daten zu einem angemeldeten Benutzer aus $_SESSION 
> direkt für SQL-Statements u.ä.
> Ich bin nun der Meinung die direkte Verwendung der Daten könnte
> Injections ermöglichen. 
> 
> Ist das der Fall, oder geht das nicht? 
> Mir ist klar, dass jederzeit die Session-ID manipuliert 
> oder gesnifft werden kann, aber darum geht's mir hierbei nicht.
> 
> 
> Danke im Voraus!
> 
Das liegt ganz dran wo die session liegt und wer drauf zugreifen kann. 
Sinnvollerweise sollte die Session auf deinem Server liegen und nicht 
beim Client, dann kann auch niemand die Daten ändern (Injektion). Der 
einzige Zugriff ist www-data erlaubt. Auch wenn die ID dann gesnifft 
wird, erlangt der Hacker lediglich den Zugriff auf diverse Bereiche. 
Evtl. hilft dir aber ein wenig https zur zusätzlichen Absicherung. Die 
Session (Cookie) beim User zu speichern ist da doch wesentlich 
riskanter, wenn ich an die Löcher in M$ vs. paranoide Pinguine denke ;)

Gruss,
Gerd

-- 
# Gerd Terlutter         | Müller+Blanck Software GmbH #
# office:+49 40 500 171-1| http://www.mplusb.de        #

php::bar PHP Wiki   -   Listenarchive