Mailinglisten-Archive |
Hallo Wolfgang, > ... IMHO ist die Get bzw. > Post - Methode keine gute Idee Session - ID's zu übergeben. Es ist ja auch "nur" die Fallback-Methode, wenn der User keine Cookies mag. In diesem Fall gibt es meines Wissens keine andere funktionierende Methode - es sei denn, man verzichtet auf Sessions ... > Was macht dein script wenn ich im Browser folgendes übergebe: > > http://www.deinedomain.de/index.php3?ID=Idiot Bei mir legt es - wie vorher auch - eine neue Session-ID an (denn ich habe als Session-Name "murx" angegeben und nicht das ID oder PHPSESSID übernommen ;-)) Wenn man aber den richtigen Session-Name in der URL vorgibt, dann wird eine Session mit dem in der URL angegebenen Wert angelegt. Wie man das verhindert (es könnte ja einem Hacker einen Weg im Dateisystem weisen, wo die Sessions liegen ... oder was weiss ich, was man damit alles anfangen kann), ist zur Zeit Diskussion in der PHPLIB-User-Mailingliste. Zwischenstand dieser Diskussion: In PHP alleine kann ich es nicht ohne weiteres verhindern. Wenn man aber die PHPLIB benutzt und sie ein wenig anpasst, dann kann man verhindern, dass Session-IDs vom User vorgegeben werden. Viele Grüße, peter Kursawe.
php::bar PHP Wiki - Listenarchive