[php] =?iso-8859-1?Q?Re:_=5Bphp=5D_Thema_Sicherheit:_Variablen=FCbergabe_in_d?= =?iso-8859-1?Q?er_URL=3F?= =?iso-8859-1?Q?er_URL=3F?=

[Thomas Weinert]

Hi

7val hat sich dieses Variante patentieren lassen!

> Vorteile:
> - laesst sich ueber eine prepend-file in jede Site auch
>   nachtraeglich problemlos einbauen.

Achja? Wenn ich eine andere Technik nutze m��te ich
die dann doch wohl wieder entfernen.

Das nachtr�glich stimmt also nicht. Ansonsten ist es auch
so relativ einfach. Bei meinem aktuellen Projekt sieht der
Einbau der Session verwaltung so aus

<?php include("dbsession.inc") ?>

Die inc enthielt genau zwei verschiedene Befehle
session_start(), session_register().
Inzwischen definiere ich die zu registrierenden Variablen
als ein Array() mit zus�tlichen Infos zum Inhalt.
Dadurch enth�lt die Datei noch einen foreach-Befehl. :-)
Kompliziert oder?

> - Passwoerter koennen im Browser zwar gespeichert werden,
>   bringt jedoch nix, da die URL einmalig ist

Das eine hat mit dem Anderen nichts zu tun.
Passw�rter speichern ist vor allem im Hinblick Fremdzugriff
auf den Client-PC von Bedeutung, die Sessions ligen jedoch
auf dem Server und m�ssen auch auf diesem gel�scht werden
um die �bernahme (Stichwwort Referer) zu verhindern.

> Nachteile:
> - die Suchmaschinen kommen damit absolut nicht zurecht
>   deshalb wird es nur in geschuetzten Bereichen angewendet.

Der Nachteil entsteht bei dynamischen Seiten sehr leicht.
eine gute robots.txt und eine nicht gesch�tzte Tunnelpage
helfen meist. Auch die Hilfeseiten und Erkl�rungen m�ssen
nicht gesch�tzt sein.

Es gibt es wohl keine Unterschiede wo in den Pfad
die SessionID verschoben wird. Dem Browser und um diesen
geht es letztendlich - speichert meist den ganzen Pfad. :-)

cu
Thomas Weinert
http://www.subjective.de