Mailinglisten-Archive |
Jürgen Mayer schrieb: > hallo, > > ich verwende die PHP-Eigene Session-Verwaltung mit session_start(). Durch das Setzen von session.use_trans_sid auf 1 in der php.ini funktioniert die Sessionverwaltung ja auch ohne Cookies. > > In diesem Fall wird ja die Session-ID automatisch an die Links rangehängt. > > Wenn jetzt ein Besucher einen Link mit "seiner" Session-Id z.B. einem Forum postet könnte ja jemand anderes [wenn er schnell genug ist] sich in die Session "einschleichen" und die selbe Session-Id benutzten. > > Da ich auch ohne die Verwendung von Cookies die Sessionverwaltung verwende muss stellt sich jetzt die Frage welche Möglichkeiten habe ich die Session-Verwaltung über die angehängte Session-ID sicherer zu machen ? du könntest z.b. alle/einige Variablen in $_SERVER überprüfen auf gleichheit, oder ein HASH über alle: 'HTTP_ACCEPT' 'HTTP_ACCEPT_CHARSET' 'HTTP_ACCEPT_ENCODING' 'HTTP_ACCEPT_LANGUAGE' 'HTTP_CONNECTION' 'HTTP_HOST' 'HTTP_REFERER' 'HTTP_USER_AGENT' die zwei sind aber mit vorsicht zu geniesen, wegen Proxys (AOL) 'REMOTE_ADDR' 'REMOTE_HOST' -- Sebastian Mendel www.sebastianmendel.de www.warzonez.de www.tekkno4u.de www.nofetish.com www.sf.net/projects/phpdatetime www.sf.net/projects/phptimesheet
php::bar PHP Wiki - Listenarchive