[php] =?iso-8859-1?Q?Re:_=5Bphp=5D_Thema_Sicherheit:_Variablen=FCbergabe_in_d?= =?iso-8859-1?Q?er_URL=3F?= =?iso-8859-1?Q?er_URL=3F?=

[Thomas Weinert]

Hi

7val hat sich dieses Variante patentieren lassen!

> Vorteile:
> - laesst sich ueber eine prepend-file in jede Site auch
>   nachtraeglich problemlos einbauen.

Achja? Wenn ich eine andere Technik nutze müßte ich
die dann doch wohl wieder entfernen.

Das nachträglich stimmt also nicht. Ansonsten ist es auch
so relativ einfach. Bei meinem aktuellen Projekt sieht der
Einbau der Session verwaltung so aus

<?php include("dbsession.inc") ?>

Die inc enthielt genau zwei verschiedene Befehle
session_start(), session_register().
Inzwischen definiere ich die zu registrierenden Variablen
als ein Array() mit zusätlichen Infos zum Inhalt.
Dadurch enthält die Datei noch einen foreach-Befehl. :-)
Kompliziert oder?

> - Passwoerter koennen im Browser zwar gespeichert werden,
>   bringt jedoch nix, da die URL einmalig ist

Das eine hat mit dem Anderen nichts zu tun.
Passwörter speichern ist vor allem im Hinblick Fremdzugriff
auf den Client-PC von Bedeutung, die Sessions ligen jedoch
auf dem Server und müssen auch auf diesem gelöscht werden
um die Übernahme (Stichwwort Referer) zu verhindern.

> Nachteile:
> - die Suchmaschinen kommen damit absolut nicht zurecht
>   deshalb wird es nur in geschuetzten Bereichen angewendet.

Der Nachteil entsteht bei dynamischen Seiten sehr leicht.
eine gute robots.txt und eine nicht geschützte Tunnelpage
helfen meist. Auch die Hilfeseiten und Erklärungen müssen
nicht geschützt sein.

Es gibt es wohl keine Unterschiede wo in den Pfad
die SessionID verschoben wird. Dem Browser und um diesen
geht es letztendlich - speichert meist den ganzen Pfad. :-)

cu
Thomas Weinert
http://www.subjective.de