[php] session managment [OT]

[Thomas Heller]

Moin Moin!

Ich arbeite gerade an einer Variante Usern zu erm�glichen sich einzuloggen
und diesen dann andere Inhalte anzuzeigen als denen die nicht eingeloggt
sind. Ich mache das im Moment mit Hilfe einer mysql Tabelle und ner
SessionID .. Die Session endet automatisch wenn ein Benutzer 10min nichts
macht ... ansonsten wird diese immer geupdatet ... Mein Problem ist
allerdings, da� ich damit keinerlei Erfahrungen habe. Vom Programmieraspekt
sehe ich da keinerlei Probleme (das krieg ich schon hin :) ich habe blo�
keinerlei Ahnung wie sich dies in Sachen Sicherheit und etc. auswirkt.

Hat hier jemand schon Erfahrungen damit?
Wie �bergebe ich die SessionID? Per Query? Per Cookie?

Das einzige was ich derzeit als richtige Sicherheitsl�cke sehe ist, wenn es
jemand schafft die SessionID rauszubekommen bevor die 10min vorbei sind,
kann er alles mit dem fremden Account machen ... Die Chance diese SessionID
zu raten ist zwar relativ gering (md5(uniqid(random()));) dennoch ist es
m�glich ... mir fehlt halt nur die Erfahrung damit ... =)

Danke, mfg
Thomas