Session Funktionen sicher?

**mrhappiness** · 02.03.2003, 20:48

und wo startest du deine session?

kann zwar auch dadran liegen, dass du nich die php-tags benutzt hast, aber ich seh bloß cookies

**Doerr** · 02.03.2003, 20:50

Ich benutze nicht die eigentlichen PHP Sessions sondern arbeite mit Einträgen in einer Datenbank.

Doerr

**BielWeb** · 02.03.2003, 23:51

Hi,

habe Dein Script nur kurz überflogen.

Ich würde ein Passwort nicht in einem Cookie speichern.

**Doerr** · 03.03.2003, 06:37

Und woher soll ich sonst wissen, ob man sich das Cookie nicht einfach selbst gesetzt hat?

Doerr

**mrhappiness** · 03.03.2003, 07:48

ich kann mir ein cookie ja immer noch selbst setzen, wenn ich als passwort im cookie sowas eintrage:

Code:

[b]' or password!=''[/b] (sinngemäß)

ich würde dir echt empfehlen, sessions zu benutzen

**BielWeb** · 03.03.2003, 08:44

Hi,

Und woher soll ich sonst wissen, ob man sich das Cookie nicht einfach selbst gesetzt hat?

Also ich würde die $session die ja mit "$session = md5($id.$password."logged_in");" erzeugst in einem Cookie setzten. Und diese $session würde ich dann mit md5 (uniqid (rand())); erzeigen, damit diese einmalig ist.
Dann kannst Du in in der Funktion loggend_in Abfragen ob die session schon in der DB wpc_session vorhanden ist.

Armin

**Doerr** · 03.03.2003, 11:09

@BielWeb: Deine Idee habe ich nicht ganz verstanden. Könntest Du das noch einmal genauer erklären.

@mrhappiness: Ich sitze nun schon einige Tage an diesen 3 winzigen Funktionen und hatte einfach die Schnauze voll von den PHP Sessions, weil einfach nichts ging.

Ganz nebenbei: Wie machen es Boardsysteme wie das vB, dass die SessionIDs nicht immer in der Adressleiste übergeben wird?

Doerr

**wahsaga** · 03.03.2003, 11:49

Original geschrieben von Doerr
Ganz nebenbei: Wie machen es Boardsysteme wie das vB, dass die SessionIDs nicht immer in der Adressleiste übergeben wird?

indem sie die session-id in einem cookie ablegen.

und zwar nur die session-id, und kein passwort, noch dazu unverschlüsselt!

**BielWeb** · 03.03.2003, 11:49

Hallo.

Ganz nebenbei: Wie machen es Boardsysteme wie das vB, dass die SessionIDs nicht immer in der Adressleiste übergeben wird?

Per Cookie. Entweder nutzten diese Systeme die Funktion sesseion_start etc. oder die haben ein eigenes Sessionsystem geproggt wie Du es nun auch vor hast.

@BielWeb: Deine Idee habe ich nicht ganz verstanden. Könntest Du das noch einmal genauer erklären.

Ich werds versuchen

Hier ein kleines Beispiel

PHP-Code:


<?php



/* Funktion zum Einloggen */

function login($id, $password) {

    global $db;

    // Überprüfen ob ID und Passwort eingeben wurden

    if(empty($id) OR empty($password)) {

        return FALSE;

    }

    // Überprüfen ob Benuterdaten in der DB

    $sql = "SELECT * FROM wpc_user WHERE id = '$id' AND password = '$password'";

    $results = $db->query($sql);

    $user = mysql_fetch_array($results);

    if(empty($user)) {

        return FALSE;

    }

    // Cookie setzten und Eintrag in wpc_session DB wenn User vorhanden

    $session = md5($id.$password."logged_in");

    setcookie("cook_userid", $session, time() + 30 * 24 * 60 * 60);

    $sql = "INSERT INTO wpc_session (user, session) VALUES ('$id', '$session')";

    $db->query($sql);

    return TRUE;

}



/* Funktion zum Prüfen, ob User eingelogged ist */

function logged_in($session) {

    global $db, $cook_userid, $cook_password;

    //Überprüfen ob Cookie vorhanden

    if (!empty($_COOKIE['cook_userid'])){

        // Überprüfen ob Cookie_ID in der DB

        $sql = "SELECT * FROM wpc_user WHERE id = '$_COOKIE[cook_userid]'";

        $results = $db->query($sql);

        $user = mysql_fetch_array($results);

        if (empty($user))

            return FALSE

        else

            return TRUE;

    }

    else

        return FALSE

}



/* Funktion zum ausloggen */

function logout($session) {

    global $db;



    setcookie("cook_userid", 0, time() + 30 * 24 * 60 * 60);

    setcookie("cook_password", 0, time() + 30 * 24 * 60 * 60);



    $sql = "DELETE FROM wpc_session WHERE session = '$session'";

    $db->query($sql);

}



?>

Hier besteht am jetzt nicht die ID per URL weiterzugeben.

**Doerr** · 04.03.2003, 12:03

Okay, da mir nun viele dazu geraten haben, die PHP Sessions zu verwenden, habe ich meine Funktionen umgeschrieben. Könntet Ihr jetzt noch einmal drüber schauen, ob sich nicht grobe Schnitzer eingeschlichen haben? Und außerdem: Was schreibe ich jetzt in die Cookies (Cookie Unterstützung ist noch nicht eingebaut), wenn das Passwort nicht hinein soll. Ganz nebenbei: Schreibt nicht sogar das vB die Passwörter in die Cookies?
Hier also der Code:

PHP-Code:


/* Funktion zum Einloggen */

function login($id, $password) {

    global $db;

    session_start();



    if(empty($id) OR empty($password)) {

        return FALSE;

    }



    $sql = "SELECT * FROM wpc_user WHERE id = '$id' AND password = '$password'";

    if(!$db->query($sql)) {

        return FALSE;

    }



    session_register('id');

    return TRUE;

}



/* Funktion zum Prüfen, ob User eingelogged ist */

function logged_in() {

    if(!session_is_registered('id')) {

        return FALSE;

    }



    echo $PHPSESSID;

    return TRUE;

}



/* Funktion zum ausloggen */

function logout() {

    session_start();

    session_destroy();

}

Doerr

Session Funktionen sicher?