phpbar.de logo

Mailinglisten-Archive

[php] Session validierung

[php] Session validierung

Niels Jäckel niels.jaeckel at silice.de
Die Jan 30 17:43:21 CET 2007


Hallo Simon,

>> das ist geanu das was PHP macht wenn man es mit session.use_only_cooky
>> konfiguriert ... ACHTUNG NIH-Syndrom!!!
> 
> diese Einstellung hat aber den Nachteil, dass Besucher, die keine
> Cookies akzeptieren, das Angebot nicht nutzen können.

das ist allerdings ein Randproblem. Wie viele Nutzer haben denn Cookies 
oder JavaScript deaktiviert? Wenns hoch kommt vielleicht ein halbes 
Prozent. Generelles Deaktivieren macht viele "Anwendungen" vollkommen 
unbrauchbar - beim Nachfragen dürfte man nach ein paar Stunden schon 
ziemlich genervt sein ;-)

Ich würde die Sessionweitergabe nur per Cookies machen. Wenn der Client 
keine Cookies akzeptiert (weil deaktiviert oder verweigert) bekommt der 
Nutzer einen netten Hinweis, dass es in seinem eigenen Interesse gut 
wäre, die Cookies zuzulassen.

Ach und: IP natürlich NICHT mit in den Validhash aufnehmen. Lieber auf 
MimeTypes, Encodings, Languages und Charsets ausweichen [1].


Grüße,
Niels

1: php|architect's Guide to PHP Security ... auch ein gutes Buch

php::bar PHP Wiki   -   Listenarchive