[php] Re: Formmails... (Jannis Hermanns, php3-shop.de)

[Kristian =?iso-8859-1?Q?K=F6hntopp?=]

"Jannis Hermanns, php3-shop.de" wrote:
> Im Augenblick wird die Sessionid in einem Cookie gespeichert. Am besten
> sollte ich sie noch mit nem pw im cookie combinieren. Wenn " $sessionid !

Es genügt, den Raum der möglichen Session-IDs groß genug zu machen und
die IDs in diesem Raum nicht dicht zu packen. Also statt einen Raum für
Session-IDs von 1-100 zu nehmen und die IDs 1, 2, 3, ... zu vergeben
(dichte Packung, verhersagbare IDs), nimmst Du einen ID-Raum von
1 bis 2^128 und vergibst die IDs als Quasi-Zufallszahlen in diesem
Bereicht ($id = md5(uniqid("geheimer text"))). Auf diese Weise kann nicht
mehr aus einer ID auf andere IDs geschlossen werden und Du bist sicher.

PHPLIB würde Dir, neben anderen Dingen, diese Arbeit abnehmen.

Kristian
-- 
Kristian Köhntopp, NetUSE Kommunikationstechnologie GmbH
Siemenswall, D-24107 Kiel, Germany, +49 431 386 436 00
Using PHP3? See our web development library at
http://phplib.shonline.de/ (GPL)