Autor |
Nachricht |
easteregg
Threadersteller
Dabei seit: 15.02.2003
Ort: Deutschland
Alter: 36
Geschlecht:
|
Verfasst Sa 15.01.2005 20:25
Titel [PHP] Session angehängt, obwohl er es nicht soll |
|
|
Hi,
also mein Script generiert ne Session-Id in der Variablen "xid". Nun hänge ich die an die Urls an. Nach einem Upload hängt der Hoster aber noch einmal "PHPSESSID=[Variable]" ran... das soll er nicht - denn dann ist das ganze invalide, da die Session mit "&" anstatt "&" angehängt wird - wie kann ich das unterbinden?
MfG,
easteregg
|
|
|
|
|
dastef
Dabei seit: 03.11.2003
Ort: -
Alter: -
Geschlecht:
|
Verfasst Sa 15.01.2005 21:31
Titel
|
|
|
da gibt's ne einstellung in der php.ini sess_trans_id oder sowas.
|
|
|
|
|
Anzeige
|
|
|
Account gelöscht
Ort: -
Alter: -
|
Verfasst Sa 15.01.2005 23:13
Titel
|
|
|
Ich würde eher auf folgende .ini-Einstellung setzen:
php.ini hat geschrieben: | ;;;;;;;;;;;;;;;;;
; Data Handling ;
;;;;;;;;;;;;;;;;;
;
; Note - track_vars is ALWAYS enabled as of PHP 4.0.3
; The separator used in PHP generated URLs to separate arguments.
; Default is "&".
;arg_separator.output = "&"
; List of separator(s) used by PHP to parse input URLs into variables.
; Default is "&".
; NOTE: Every character in this directive is considered as separator!
;arg_separator.input = ";&"
|
|
|
|
|
|
mööp
Dabei seit: 29.08.2003
Ort: -
Alter: -
Geschlecht: -
|
Verfasst So 16.01.2005 02:38
Titel
|
|
|
Naja Schinken, in der Regel hat man auf die PHP.ini keinen direkten Zugriff, d.h. man müsste mit ini_set() das ganze zur Laufzeit ändern.
Ich habe damals einfach meinen Hoster gebeten, die Einstellung in der PHP.ini zu ändern. Er hat es mit einem Murren letztlich gemacht. Fand ich cool. Also würde ich erstmal beim Hoster nachfragen, wenn du ihm den Grund (valider Code) nennst, dann wird er es bestimmt ändern.
Ich habe gleich das Anhängen komplett unterbinden lassen, was ein Sicherheitsrisiko weniger ist.
|
|
|
|
|
Account gelöscht
Ort: -
Alter: -
|
Verfasst So 16.01.2005 02:43
Titel
|
|
|
naja... für ne doofe session!? das einzige risiko ist, dass man als user die id mal versehentlich weitergibt, und dann kann man immernoch auf die ip prüfen o.Ä.
kommt immer drauf an, für welchen verwendungszweck das ganze gedacht ist, aber du schreibt ja sicherlich nicht für fort knox die online-überweisungsscheine.
Zuletzt bearbeitet von am So 16.01.2005 02:44, insgesamt 1-mal bearbeitet
|
|
|
|
|
mööp
Dabei seit: 29.08.2003
Ort: -
Alter: -
Geschlecht: -
|
Verfasst So 16.01.2005 03:05
Titel
|
|
|
XSchinkenX hat geschrieben: | naja... für ne doofe session!? das einzige risiko ist, dass man als user die id mal versehentlich weitergibt, und dann kann man immernoch auf die ip prüfen o.Ä.
kommt immer drauf an, für welchen verwendungszweck das ganze gedacht ist, aber du schreibt ja sicherlich nicht für fort knox die online-überweisungsscheine. |
sessions sind eines der wichtigsten funktionen für websites, was ist daran doof? die session ID kann, muss nicht, ein hohes sicherheitsrisiko darstellen, besonders bei communities, wo die nutzer keine ahnung von sowas haben. da wird dann ein Link ins forum geposted und ein findiger hackerboy kann sich im extremfall zugang zum account verschaffen.
als programmierer kann man da natürlich auch dagegen halten, aber die Arbeit kann man sich sparen, wenn man keine SessionID anhängt.
Lange Rede kurzer sinn, dein letztes posting war müll.
# edit, dastef: 2 postings zusammen gefügt #
zwei müll postings hintereinander, das wird teuer.
mir ist klar, dass den meisten hier das Sicherheitsrisiko bei SIDs klar ist, nur bei dir war ich mir dann doch nicht ganz sicher, weil du es so lapidar erwähnt hast. Scheinbar hast du halt erst wenig Erfahrungen gesammelt diesbzgl., das kommt aber noch mit der Zeit.
Zuletzt bearbeitet von dastef am So 16.01.2005 13:10, insgesamt 1-mal bearbeitet
|
|
|
|
|
dastef
Dabei seit: 03.11.2003
Ort: -
Alter: -
Geschlecht:
|
Verfasst So 16.01.2005 13:11
Titel
|
|
|
so jungs eure privat-plauschereien könnt ihr per pn oder irc oder
sonst was austragen - mir wurscht, aber definitiv nicht hier.
jetzt ist erst mal warten angesagt, bis der threadstarter sich zu
wort meldet - ausser es hat noch jemand was sinnvolles
beizutragen.
|
|
|
|
|
easteregg
Threadersteller
Dabei seit: 15.02.2003
Ort: Deutschland
Alter: 36
Geschlecht:
|
Verfasst So 16.01.2005 14:02
Titel
|
|
|
Hi,
also an die ini komm ich eh nicht ran, da müsste ich den Hoster mal fragen. Aber mich wundert, dass diese automatische Session "&SESSION_ID=..." nur ab und zu angehängt wird - als ob es eine Laune des Servers wäre? Kann man das nicht mit PHP-Code unterbinden? Danke bisher für eure Antworten
MfG,
easteregg
|
|
|
|
|
|
|
|
Ähnliche Themen |
User- und Session-ID per Cookie, Session oder in URL durchre
Image wird ein Random Value angehängt (PHP-Skript). Sinn?
session id?
PHP-SESSION aktualisieren ?
session übergeben???
DVD- Session brennen auf MAC?
|
|