Tweet
kinder unter sich 
-
KIND unter sichmeine Projekte bestaunen: http://www.kleiza.deKommentar
-
dazu sag ich jetzt nix ich bedanke mich aber bei euch BEIDEN für die hilfe. 
Kommentar
-
@Campus: Wieso bist Du unter Dir??carpe noctem
[color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
[color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]Kommentar
-
@goth
wie war das denn jetzt gemeint? *wunder*@crono:
Weil "Rob K" mal wieder was sagen wollte ... !
diese aussage war/ist nicht unbegründet:
- man kann nur begrenzt daten in einer session speichen (man sagt wohl so max. 5 kb)
- sessions bedeuten immer eine kleine sicherheitslückeGNU/LINUXKommentar
-
Limit von 5KB kann nicht sein ... die größte Session die derzeit auf einem meiner System aktiv ist hat 9.423 Bytes ich wüßte auch nicht welches Limit die Sessiongröße haben sollte außer das das Memory-Limit erreicht wird ... !Original geschrieben von Rob K
@goth
diese aussage war/ist nicht unbegründet:
- man kann nur begrenzt daten in einer session speichen (man sagt wohl so max. 5 kb)
- sessions bedeuten immer eine kleine sicherheitslücke
Die Sicherheitslücke müßtest Du mal erklären ... derzeit ist an und für sich nichts bekannt!carpe noctem
[color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
[color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]Kommentar
-
ich hab die ~5 kb gestützt auf diese aussage gesagt:
http://www.dclp-faq.de/q/q-sessions-datenmenge.html
und wenn du auf einem shared-host mit 200 accounts bist, davon je 20 meinentwegen 500 sessions mit je 10 kb hätten, würdesz du einen deutlichen performaceverlust spüren denke ich!
auf einer stark frequentierten seite (großes forum oder so) werden seltenst php.sessions verwendet!
siehst du auch daran, dass die meisten großen forensysteme eigene session-routinen nutzen!
ich meine damit nicht eine 'wirkliche' sicherheitslücke!Die Sicherheitslücke müßtest Du mal erklären ... derzeit ist an und für sich nichts bekannt!
z.b. könnte der böse server-admin im filesystem umschnüffeln oder was weiß ich .... eine restrisiko bleibt immer.
sagt: http://www.php.net/manual/de/ref.session.phpSessions sind als Mechanismus für sichere Authentifizierung nicht verlässlich.GNU/LINUXKommentar
-
naja, in ne mysql datei können böse serveradmins genauso gut rumschnüffeln
ich glaub die DB basierten sessions, sind von der funktionalität her viel umfangreicher als datei-session..meine Projekte bestaunen: http://www.kleiza.deKommentar
-
benutze ich auch nicht die Sessionfunktionen von PHP, nehme ne eigene klasse und muß sagen, daß ich damit noch keine Probs hatte. Die Sessiondaten in ne Heap-table und gut is.
grussKommentar
-
Also ich verwende PHP Sessions auch für große Projekte mit Zugriffszahlen > 2 Mio Pi's / Monat und hatte bisher keinerlei Performance Probleme. Ich würde im Übrigen bei den Zugriffszahlen DB-Basierte Sessions für aus Performance Sicht weitaus kritischer ansehen.
Einen definitiv sicheren Weg gibt's im Internet nicht ... meines erachtens ist es wichtig die PHP-Sessions an IP's zu binden um die 'Feindliche Übernahme' zu verhindern ... ansonsten sehe ich derzeit wenig Risiken!
Eine eigene Klasse halte ich erst von dem Zeitpunkt an für sinnvoll, wenn echte Destruktoren definiert werden können ... also ab PHP5. Ich verwende zwar auch 'ne Klasse für's Session-Handling aber die ist lediglich ein Wrapper um's handling des Originals zu vereinfachen.carpe noctem
[color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
[color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]Kommentar
-
darauf kann man sich aber auch nicht verlassen. bei einem proxy etc. kann sich die IP auch beim surfen ändern soviel ich weiß!meines erachtens ist es wichtig die PHP-Sessions an IP's zu binden
GNU/LINUXKommentar
-
???
Ja und ... dann muß der Benutzer sich neu anmelden ... sicherer geht's ja wohl kaum ... da ist's eher ein Problem das mehrere User über einen Proxy surfen können ... und nicht jeder Proxy 'nen X-Forwarded-For Header sendet!carpe noctem
[color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
[color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]Kommentar
Moderator
Kommentar