AW: [php] Frage zu dauerhaften Sessions

[Rauch Christian]

> -----Ursprüngliche Nachricht-----
> Von: Ralf Eggert [mailto:ralf_(at)_in-greece.de]
> Gesendet: Dienstag, 9. Juli 2002 11:38
> An: PHP Mailingliste
> Betreff: [php] Frage zu dauerhaften Sessions
>
> 1. Reicht es aus, wenn die Gueltigkeit der Session nicht auf
> eine halbe
>    Stunde begrenzt wird? Das wuerden zudem heissen, dass bei der GC
>    dauerhafte Sessions nicht automatisch geloescht werden.

Da kann ich nix dazu sagen, Sessions sind nicht meine Sache

>
> 2. Oder sollte ich neben dem normalen Session-Cookie einen zweiten
>    Cookie verwenden, in dem z.B. die Benutzerkennung gespeichert wird?
>
> Falls die zweite Variante sinnvoller ist, was sollte ich in dem Cookie
> speichern? Einfach nur die Benutzerkennung? Das Passwort ja auf keinen
> Fall!

Ich würde den Benutzernamen und das
MD5-verschlüsselte Passwort speichern, z.B. in der Form
$benutzername.":".md5($passwort) und mittels split beim Auslesen
die 2 Sachen wieder trennen. Mittels Abfrage dann checken, ob
das Passwort stimmt.

>
> Kleine Zusatzfrage von meinem Kunden: waere es moeglich, einen
> derartigen Cookie, der nur die Benutzerkennung enthaelt, zu
> faken? D.h.

ja

> man bastelt sich selber einen Cookie mit Benutzerkennung "Schulze", um
> sich automatisch einzuloggen. Waere es in einem solchen Fall nicht
> besser, etwas anderes als die Benutzerkennung zu speichern, und wenn
> ja, was sollte man nehmen?
>

siehe oben ;-)

> Ich bin fuer jede Anregungen und jeden Tipp dankbar.
>
> Viele Gruesse aus dem warmen und sonnigen Norden.
>
>         Ralf

mfg,
	Christian