Session Sicher? Includes? Time?

**schmalle** · 16.05.2003, 10:41

sessions sind schon eine sichere sache. man müsste schon die session id erraten, um sich in die session eines anderen users einzuhacken.

zum schutz der include files. einfach in der session eine var speichern "eingelogged". in dem include file foilgende abfrage:

if(!session_is_registered($variable)) { die (" so nicht mein freund "); }

session und sql ist ne gute idee. einfach die sessionID in die datenbank, und einen timestamp + 20 min. bei jedem aufruf der seite alle id aus der db kicken, die aläter als now() sind. dann ein zweiter select, ob die id des users noch drin ist. wenn sioe drin ist update time()+20 min, ansonsten session_destroy() und die(" nö nö so auch nicht ");

**Lawless** · 16.05.2003, 11:42

Die Session ist nix anderes als ein Cookie... und das Ding 'expired' irgendwann (spätestens wenn der Browser zu is)
Oder man setzt einen TimeOut
-> session_set_cookie_params("3600");
In 3600 Sekunden ist man wieder ausgeloggt wenn nicht vorher jemand den Browser zu macht oder session_destroy aufruft...

**schmalle** · 16.05.2003, 11:49

auf cookies würde ich mich nicht verlassen! nicht jeder akzeptiert sie. daher werden bei allen guten provider auch zusätzlich session_files angelegt!

**wwj** · 16.05.2003, 14:55

Hi,

Also das mit der Variable hat geklappt.

Das mit der Session Timeout hat sich in diesem Falle auch erledigt.
Ich habe halt der Browser 12 Std. offen und darum fällt mir das nicht mehr auf das die Session auch so beendet werden kann!

Vielen Dank

**Trashar** · 16.05.2003, 15:10

Original geschrieben von schmalle

if(!session_is_registered($variable)) { die (" so nicht mein freund "); }

also ich würd das lieber so machen:

if(!$_SESSION['variable']) { die("sooo nicht"); }

mfg

**Abraxax** · 16.05.2003, 15:13

Original geschrieben von Trashar
also ich würd das lieber so machen:

if(!$_SESSION['variable']) { die("sooo nicht"); }

mfg

wenn so, dann schon so richtig...

PHP-Code:


if(!isset($_SESSION['variable'])) { die("sooo nicht"); }

aber wie auch immer die schreibweise ist ALT / NEUE / ABSOLUT , der effekt ist immer der gleiche...

**schmalle** · 16.05.2003, 15:17

session_is_registered() ist am besten, weils ne funktion is. die wird so schnell nicht geändert

**Abraxax** · 16.05.2003, 15:20

Original geschrieben von schmalle
die wird so schnell nicht geändert

aber rausgenommen vielleicht, weil es veraltet ist...

**schmalle** · 16.05.2003, 15:24

das kann ich mir ned so recht vostellen. weil vonner therie könnte man in $_SESSION auch manuell was reinschreiben. somit ist die einzig wahre methode die meinige

PS basta

**Abraxax** · 16.05.2003, 15:27

Original geschrieben von schmalle
somit ist die einzig wahre methode die meinige

papperlapapp. und jetzt ruhe.

**wwj** · 16.05.2003, 15:37

Und damit wäre auch das geklärt....

http://www.phpcrawler.de/phpmanual/f...registered.php

Trotzdem Danke!

**schmalle** · 16.05.2003, 15:39

man hätte auch sagen können "ja schmalle, du hast natürlich recht!"

Session Sicher? Includes? Time?