Mailinglisten-Archive |
Gerd Terlutter schrieb: > lists at darknoise.de wrote: > >> ich habe eine kleine Frage zur Manipulierbarkeit von Sessions. >> Wir legen einige Daten zu einem angemeldeten Benutzer aus $_SESSION >> direkt für SQL-Statements u.ä. >> Ich bin nun der Meinung die direkte Verwendung der Daten könnte >> Injections ermöglichen. >> Ist das der Fall, oder geht das nicht? um eine Bank vor einem Einbruch zu schützen könnte man entweder einen Polizisten für jeden der 1000 Bankräuber zur überwachung abstellen, oder 10 Polizisten für die Bank ... ... was ich sagen will das es mir praktischer erscheint die Daten vor der verwendung zu Prüfen als darauf zu vertrauen das die Daten beim Bereitsteller geprüft wurden, erst recht wenn die Daten von mehreren Stellen kommen können ... > Das liegt ganz dran wo die session liegt und wer drauf zugreifen kann. > Sinnvollerweise sollte die Session auf deinem Server liegen und nicht > beim Client, dann kann auch niemand die Daten ändern (Injektion). Der > einzige Zugriff ist www-data erlaubt. Auch wenn die ID dann gesnifft > wird, erlangt der Hacker lediglich den Zugriff auf diverse Bereiche. > Evtl. hilft dir aber ein wenig https zur zusätzlichen Absicherung. Die > Session (Cookie) beim User zu speichern ist da doch wesentlich > riskanter, wenn ich an die Löcher in M$ vs. paranoide Pinguine denke ;) - Session-Daten werden immer auf dem Server gespeichert - Session-Daten sind alle Daten in $_SESSION ($HTTP_SESSION_VARS) - wie die Daten auf dem Server gespeichert werden steht in der php.ini -- Sebastian Mendel www.sebastianmendel.de www.warzonez.de www.tekkno4u.de www.nofetish.com www.sf.net/projects/phpdatetime www.sf.net/projects/phptimesheet
php::bar PHP Wiki - Listenarchive