mediengestalter.info
FAQ :: Mitgliederliste :: MGi Team

Willkommen auf dem Portal für Mediengestalter

Aktuelles Datum und Uhrzeit: Do 08.12.2016 03:04 Benutzername: Passwort: Auto-Login

Thema: [PHP] Session angehängt, obwohl er es nicht soll vom 15.01.2005


Neues Thema eröffnen   Neue Antwort erstellen MGi Foren-Übersicht -> Programmierung -> [PHP] Session angehängt, obwohl er es nicht soll
Seite: 1, 2  Weiter
Autor Nachricht
easteregg
Threadersteller

Dabei seit: 15.02.2003
Ort: Deutschland
Alter: 28
Geschlecht: Männlich
Verfasst Sa 15.01.2005 19:25
Titel

[PHP] Session angehängt, obwohl er es nicht soll

Antworten mit Zitat Zum Seitenanfang

Hi,
also mein Script generiert ne Session-Id in der Variablen "xid". Nun hänge ich die an die Urls an. Nach einem Upload hängt der Hoster aber noch einmal "PHPSESSID=[Variable]" ran... das soll er nicht - denn dann ist das ganze invalide, da die Session mit "&" anstatt "&" angehängt wird - wie kann ich das unterbinden?

MfG,
easteregg
  View user's profile Private Nachricht senden
dastef

Dabei seit: 03.11.2003
Ort: -
Alter: -
Geschlecht: Männlich
Verfasst Sa 15.01.2005 20:31
Titel

Antworten mit Zitat Zum Seitenanfang

da gibt's ne einstellung in der php.ini sess_trans_id oder sowas.
  View user's profile Private Nachricht senden
Anzeige
Anzeige
Account gelöscht


Ort: -
Alter: -
Verfasst Sa 15.01.2005 22:13
Titel

Antworten mit Zitat Zum Seitenanfang

Ich würde eher auf folgende .ini-Einstellung setzen:

php.ini hat geschrieben:
;;;;;;;;;;;;;;;;;
; Data Handling ;
;;;;;;;;;;;;;;;;;
;
; Note - track_vars is ALWAYS enabled as of PHP 4.0.3

; The separator used in PHP generated URLs to separate arguments.
; Default is "&".
;arg_separator.output = "&"

; List of separator(s) used by PHP to parse input URLs into variables.
; Default is "&".
; NOTE: Every character in this directive is considered as separator!
;arg_separator.input = ";&"
 
mööp

Dabei seit: 29.08.2003
Ort: -
Alter: -
Geschlecht: -
Verfasst So 16.01.2005 01:38
Titel

Antworten mit Zitat Zum Seitenanfang

Naja Schinken, in der Regel hat man auf die PHP.ini keinen direkten Zugriff, d.h. man müsste mit ini_set() das ganze zur Laufzeit ändern.

Ich habe damals einfach meinen Hoster gebeten, die Einstellung in der PHP.ini zu ändern. Er hat es mit einem Murren letztlich gemacht. Fand ich cool. Also würde ich erstmal beim Hoster nachfragen, wenn du ihm den Grund (valider Code) nennst, dann wird er es bestimmt ändern.

Ich habe gleich das Anhängen komplett unterbinden lassen, was ein Sicherheitsrisiko weniger ist.
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
Account gelöscht


Ort: -
Alter: -
Verfasst So 16.01.2005 01:43
Titel

Antworten mit Zitat Zum Seitenanfang

naja... für ne doofe session!? das einzige risiko ist, dass man als user die id mal versehentlich weitergibt, und dann kann man immernoch auf die ip prüfen o.Ä.

kommt immer drauf an, für welchen verwendungszweck das ganze gedacht ist, aber du schreibt ja sicherlich nicht für fort knox die online-überweisungsscheine.


Zuletzt bearbeitet von am So 16.01.2005 01:44, insgesamt 1-mal bearbeitet
 
mööp

Dabei seit: 29.08.2003
Ort: -
Alter: -
Geschlecht: -
Verfasst So 16.01.2005 02:05
Titel

Antworten mit Zitat Zum Seitenanfang

XSchinkenX hat geschrieben:
naja... für ne doofe session!? das einzige risiko ist, dass man als user die id mal versehentlich weitergibt, und dann kann man immernoch auf die ip prüfen o.Ä.

kommt immer drauf an, für welchen verwendungszweck das ganze gedacht ist, aber du schreibt ja sicherlich nicht für fort knox die online-überweisungsscheine.


sessions sind eines der wichtigsten funktionen für websites, was ist daran doof? die session ID kann, muss nicht, ein hohes sicherheitsrisiko darstellen, besonders bei communities, wo die nutzer keine ahnung von sowas haben. da wird dann ein Link ins forum geposted und ein findiger hackerboy kann sich im extremfall zugang zum account verschaffen.

als programmierer kann man da natürlich auch dagegen halten, aber die Arbeit kann man sich sparen, wenn man keine SessionID anhängt.

Lange Rede kurzer sinn, dein letztes posting war müll.

# edit, dastef: 2 postings zusammen gefügt #

zwei müll postings hintereinander, das wird teuer.

mir ist klar, dass den meisten hier das Sicherheitsrisiko bei SIDs klar ist, nur bei dir war ich mir dann doch nicht ganz sicher, weil du es so lapidar erwähnt hast. Scheinbar hast du halt erst wenig Erfahrungen gesammelt diesbzgl., das kommt aber noch mit der Zeit.


Zuletzt bearbeitet von dastef am So 16.01.2005 12:10, insgesamt 1-mal bearbeitet
  View user's profile Private Nachricht senden Website dieses Benutzers besuchen
dastef

Dabei seit: 03.11.2003
Ort: -
Alter: -
Geschlecht: Männlich
Verfasst So 16.01.2005 12:11
Titel

Antworten mit Zitat Zum Seitenanfang

so jungs eure privat-plauschereien könnt ihr per pn oder irc oder
sonst was austragen - mir wurscht, aber definitiv nicht hier.

jetzt ist erst mal warten angesagt, bis der threadstarter sich zu
wort meldet - ausser es hat noch jemand was sinnvolles
beizutragen.
  View user's profile Private Nachricht senden
easteregg
Threadersteller

Dabei seit: 15.02.2003
Ort: Deutschland
Alter: 28
Geschlecht: Männlich
Verfasst So 16.01.2005 13:02
Titel

Antworten mit Zitat Zum Seitenanfang

Hi,
also an die ini komm ich eh nicht ran, da müsste ich den Hoster mal fragen. Aber mich wundert, dass diese automatische Session "&SESSION_ID=..." nur ab und zu angehängt wird - als ob es eine Laune des Servers wäre? Kann man das nicht mit PHP-Code unterbinden? Danke bisher für eure Antworten Lächel

MfG,
easteregg
  View user's profile Private Nachricht senden
 
Ähnliche Themen Image wird ein Random Value angehängt (PHP-Skript). Sinn?
problem mit session PHP
PHP-SESSION aktualisieren ?
PHP - Probleme mit der SESSION
PHP: Session später starten
[PHP] Session-Variablen werden im IE nicht gespeichert
Neues Thema eröffnen   Neue Antwort erstellen Seite: 1, 2  Weiter
MGi Foren-Übersicht -> Programmierung


Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst an Umfragen in diesem Forum nicht mitmachen.