phpbar.de logo

Mailinglisten-Archive

[php] Sicherheit der Daten in Session

[php] Sicherheit der Daten in Session

Sebastian Mendel lists at sebastianmendel.de
Fre Jun 25 12:25:09 CEST 2004


Gerd Terlutter schrieb:

> lists at darknoise.de wrote:
> 
>> ich habe eine kleine Frage zur Manipulierbarkeit von Sessions.
>> Wir legen einige Daten zu einem angemeldeten Benutzer aus $_SESSION 
>> direkt für SQL-Statements u.ä.
>> Ich bin nun der Meinung die direkte Verwendung der Daten könnte
>> Injections ermöglichen.
>> Ist das der Fall, oder geht das nicht?

um eine Bank vor einem Einbruch zu schützen könnte man entweder einen 
Polizisten für jeden der 1000 Bankräuber zur überwachung abstellen, oder 
10 Polizisten für die Bank ...

... was ich sagen will das es mir praktischer erscheint die Daten vor 
der verwendung zu Prüfen als darauf zu vertrauen das die Daten beim 
Bereitsteller geprüft wurden, erst recht wenn die Daten von mehreren 
Stellen kommen können ...



> Das liegt ganz dran wo die session liegt und wer drauf zugreifen kann. 
> Sinnvollerweise sollte die Session auf deinem Server liegen und nicht 
> beim Client, dann kann auch niemand die Daten ändern (Injektion). Der 
> einzige Zugriff ist www-data erlaubt. Auch wenn die ID dann gesnifft 
> wird, erlangt der Hacker lediglich den Zugriff auf diverse Bereiche. 
> Evtl. hilft dir aber ein wenig https zur zusätzlichen Absicherung. Die 
> Session (Cookie) beim User zu speichern ist da doch wesentlich 
> riskanter, wenn ich an die Löcher in M$ vs. paranoide Pinguine denke ;)

  - Session-Daten werden immer auf dem Server gespeichert
  - Session-Daten sind alle Daten in $_SESSION ($HTTP_SESSION_VARS)
  - wie die Daten auf dem Server gespeichert werden steht in der php.ini

-- 
Sebastian Mendel

www.sebastianmendel.de www.warzonez.de www.tekkno4u.de www.nofetish.com
www.sf.net/projects/phpdatetime        www.sf.net/projects/phptimesheet

php::bar PHP Wiki   -   Listenarchive