Willkommen im TP-Hilfe-Forum! Dies ist ein Forum zu den Themen Photoshop, Dreamweaver, Flash, Selbständigkeit und mehr, in dem Du Hilfe, Anleitung oder eine Lösung zu Deinen Problemen erhältst.
Aktuell bist Du in unseren Foren als Gast mit reinen Leserechten unterwegs. Wenn Du Dich registrierst, kannst Du eigene Themen verfassen, deine Frage stellen und privat mit anderen TPlern kommunizieren. Weitere Foren werden zugänglich, und Du wirst – falls gewünscht – per Mail über neue Beiträge informiert. Die Registrierung ist schnell und kostenlos. Sollten bei der Registrierung Fragen auftauchen, reicht ein Klick in unsere Hilfe - Häufig gestellte Fragen oder eine kurze Mitteilung an das Support-Team.
naja. er ordnet die sessions noch zusätzlich einem user zu und überprüft dann, ob der user nicht mit der angegebenen session id die session eines anderen users klaut. das geht aber nur, wenn der user auch passwort und benutzername mitsendet, sich also authentifiziert. eine session für den anonymous kann man so nicht schützen.
@seb: ok, natürlich geht das auch nur, wenn nicht die session selbst für die user authentifizierung benutzt wird. aber mit http authentifizierung gehts, also wenn man jedes mal die logindaten mitschickt - dann kann man sogar das schicken der session id weglassen, wie mein beispiel demonstriert .
Hier reden einige aneinander vorbei.
Egal, habe es getestet und die Aussage, dass bei mehrmaligem Aufruf von session_start() eine gleiche ID erzeugt wird stimmt nicht (bei Cookies = off). Übergibt man also als Dieb eine ID, die beim Login angelegt wurde, dann gilt auch übermittelte Session-ID = gespeicherte Session-ID.
naja. er ordnet die sessions noch zusätzlich einem user zu und überprüft dann, ob der user nicht mit der angegebenen session id die session eines anderen users klaut.
eben, aber die php session bietet einem schon die möglichkeit, variablen und objekte zu speichern, und das mit einigem komfort wie verfall und so weiter. natürlich, man kann sich immer auch selbst darum kümmern. is halt mehr aufwand.
