phpbar.de logo

Mailinglisten-Archive
[php] AW: [php] Sessions, Cookies und Referers

[php] AW: [php] Sessions, Cookies und Referers

Clemens Gutweiler clgu-php_(at)_gmx.net
Mon, 22 May 2000 18:31:43 +0200 

Hi Jan,

Darauf sind schon viele gekommen, allersings gibt es da einen Haken:
Manche Provider (01019freenet, etc.) wechseln während einer
"Surf-Sitzung" die IP, was dann natürlich zu Problemen führt. Ich hatte
das in einem Projekt auch schon drin, musste es aber wegen Beschwerden
wieder entfernen, da manche Kunden gemeckert haben. Deswegen hinterlege
ich den Namen des Browsers (in $HTTP_USER_AGENT) bei den sessions in
einer DB.

mfg clemens.
--
::      Web M_(at)_king         ::   http://www.webmaking.de   ::
::   ICQ UIN #36706371     ::    clemens_(at)_gutweiler.net    ::
:: fon 0 65 33 / 95 94 41  ::   mobil 0 170 / 18 48 747   ::
!!!! Neues Mail-Interface: http://webmail.webmaking.de !!!!!
----- Original Message -----
From: Jan Prieser <pwr_sneak_(at)_gmx.de>
To: Stefan Toobe <php_(at)_php-center.de>
Sent: Monday, May 22, 2000 5:38 PM
Subject: Re: [php] AW: [php] Sessions, Cookies und Referers


> Hallo,
>
> >> ... eine MD5-Prüfsumme ermitteln, in einer mysql Tabelle "Sessions"
einen
> >> neuen Eintrag mit Angabe der Prüfsumme generieren, nun hat jeder
Surfer
> >> einen eigenen Datensatz, die Prüfsumme in die URL hängen, weitere
> >> Seitenaufrufe holen ihre Daten dann aus der Tabelle mit dem
Userbezogenen
> >> Datensatz ...
> >>
> >> müsste doch gehen, oder hab ich nen Denkfehler?
>
> wie wärs denn, wenn man die IP desjenigen, der die Session erzeugt in
> die SessionID verschlüsselt einbaut. Bei jedem Benutzen der ID müsste
> dann zwar die IP wieder extrahiert werden und mit der IP verglichen
> werden, die gerade verwendet wird, aber das müsste das Ganze doch
> sicher machen, oder? In Verbindung mit einer relativ kurzen Gültigkeit
> kann so weder ein späterer User des Providers bzw. ein BAfH die
> Session klauen.
> Es müsste aber auch mit "Standard" Session IDs und einem Extra Feld in
> der DB funktionieren. Oder als Sessionvariable in der PHPlib.
> Gibt es da auch einen Haken, oder ist das nur noch keiner drauf
> gekommen? (was ich mir nicht so recht vorstellen kann)
>
>
> Jan P.
>
>
>
> --
> ** Durchgehend geöffnet: http://www.php-center.de **
> Die PHP-Liste: mailto:php_(at)_php-center.de
> http://infosoc.uni-koeln.de/mailman/listinfo/php
>

php::bar PHP Wiki   -   Listenarchive