.htaccess vs. PHP&mySQL

Ich würde aus Sicherheitsgründen auf das Setzen eines Cookies verzichten, denn damit schickst du Daten an den Browser. Mit den geeigneten Mitteln könnte man das Cookie dann verändern z.B. die Ablaufzeit.
Ich würde alles in die DB speichern, damit der Client nicht wissen kann wann seine Sesssion abläuft und auch keine Daten zur allfälligen Veränderung bekommt.
Nur mit der Session alleine kann er dann nichts anfangen, denn die Zeit steht in der DB. Ausserdem bietet die DB den Vorteil, dass du noch weitere Daten der Session zuweisen kannst z.B. die IP. Damit kannst du verhindern, dass jemand, der eine gültige Session kennt, einfach so rein kommt. Die Session ist in der DB aber die IP stimmt nicht mehr.

Ganz grundsätzlich(meine Meinung): So wenig Daten wie möglich an den Client senden und das Sessionmanagement möglichst auf dem Server halten.

Gruss

tobi

Ja, das ist doch nur zusätzlich zur Ablaufzeit in der Session. Ob ich die IP jetzt in der Session speicher oder in der DB macht auch keinen Unterschied. Wenn die Session auf dem Server ungültig ist, dann kann der User auch nix mit einem verlängertem Cookie anfangen.

Verzeichniss-Schutz

Kann man mit einer PHP&MySQL Lösung nur Dateien oder auch ganze verzeichnisse schützen?

Hab sowas bisher mit .htaccess gemacht aber leider hat mein Provider da was verändert so dass die .htaccess datei nicht nur unterverzeichnisse und daten schützt die im gleichen Verzeichniss liegen sondern auch die darüberliegene verzeichnisse und Daten schützt.

Beispiel

Verzeichnis mit .htaccess: /home/httpd/vhosts/irgendwas.de/httpdocs/2007/admin/

leider wird das verzeichniss /home/httpd/vhosts/irgendwas.de/httpdocs/2007/ damit auch geschützt . Provider ist Evanzo.

MfG
FlorianBR

Re: Verzeichniss-Schutz

Kann ich mir nicht vorstellen!