phpbar.de logo

Mailinglisten-Archive

[php] Session validierung

[php] Session validierung

Hartmut Holzgraefe hartmut at php.net
Don Feb 1 13:13:25 CET 2007


Christoph Jeschke wrote:
> Ja. Aber Verhaltensprobleme ("Sessions per E-Mail verschicken") kann man
> nicht zuverlässig durch Technologie ("ID verstecken") beheben. Gerade
> bei Fools funktioniert das nicht.

hier könnte man sich zumindest teilweise durch Referer-Checks absichern,
wenn die Referer-URL nicht die gleiche Session-ID enthält wie die
Request-URL. Das hilft zwar nicht gegen absichtlichen Missbrauch aber
zumindest gegen die üblichen Bookmark- und Copy&Paste Probleme ...
sozusagen als Secondary-Fool-Protection ...

-- 
Hartmut Holzgraefe                                                     .

http://php-baustelle.de/


php::bar PHP Wiki   -   Listenarchive