login - sessions? cookies?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • login - sessions? cookies?

    hi,

    hab da mal eine frage zum loginbereich einer seite. habe mir dazu das tutorial von andreas zimare durchgelesen, habe aber immernoch verständnisprobleme.

    in dem tut wird ja folgende methode verwendet:
    - einloggen
    - user und passwort in session registrieren
    - bei neuladen der seite, prüfung der registrierten variablen mit der datenbank

    ist das nicht etwas langsam, wenn man mehrere hundert user hat und jedesmal dies mit der db abgeglichen wird?

    können in einer session registrierte variablen denn von benutzern abgeändert werden? die sessiondateien werden ja auf dem server gespeichert, sprich: username und userpasswort und co sind ja direkt für den user nicht zugänglich, sondern nur denjenigen, der zugriffe auf das geschützte (!) verzeichnis hat.

    daher wollte ich fragen, ob folgende methode mindestens genauso sicher ist wie die von andreas zimare:

    - einloggen
    - user und passwort in session registrieren
    - bei neuladen der seite, überprüfen ob variablen schon registriert wurden, dann "blinde" verwendung dieser

    vielen dank für eure antworten!

  • #2
    wenn du aufpasst, dass nur richtige Usernamen und Passwörter in die Session kommen, ist es genauso sicher.
    hopka.net!

    Kommentar


    • #3
      ja, die überprüfung mache ich ja einmalig immer beim einloggen. da wird dann überprüft, ob name und passwort stimmen (sprich einmalig mit der db abgeglichen). wenn der user mit dem zugehörigem passwort gefunden wurde, dann werden erst die variablen in der session registriert.

      wollte halt nur wissen, ob ich künstlich mit einem fremdscript sessionvariablen auf meinem server registrieren könnte und ob irgendwer bereits registrierte variablen auslesen könnte...

      Kommentar


      • #4
        Nee, das geht auf keinen Fall, außer jemand hat Zugriff zu deinem Server. Aber dann ist alles egal!

        Also für das Management Sessions und die Cookies nur für nen AutoLogin (wenn überhaupt).

        Kommentar


        • #5
          ich prüfe immer noch einmal in der datenbank ab. der vorteil ist, dass so auch geänderte rechte sofort aktiv beim user sind und er nicht noch einmal aus- und einloggen muss. bei rechteentzug ist das sehr nützlich.
          INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


          Kommentar


          • #6
            würde ich auch nur machen, wenn mysql auf localhost läuft. die rechte ändern sich ja nun eigentlich nicht sooooo oft und wenn kann man es dem user schon zumuten, sich neu einzuloggen.
            aber letztlich ist es jedem selbst überlassen.

            Kommentar


            • #7
              btw: selbst beim ändern der rechte sollte es möglich sein, ohne einen erneuten Login auszukommen!

              Kommentar


              • #8
                indem man die entsprechende informationen mit dem ändern der rechte auch updated. das meinst du?

                Kommentar


                • #9
                  jupP!

                  Kommentar


                  • #10
                    Naja, der braucht sich auch so nich neu einloggen. Musst halt einfach nur die Variablen in der Session mit ändern, wenn der sein PW ändert oder was auch immer.
                    hopka.net!

                    Kommentar


                    • #11
                      davon waren wir grade am reden ;D

                      Kommentar


                      • #12
                        naja. wenn ein user (admin) die rechte eines anderen users (user) ändert, dann kann man nicht die session-daten ändern. erst beim nächsten reload des users können die rechte auch in der session aktuallisiert werden, womit wir wieder dabei wären, dass die rechte immer gecheckt werden sollten.

                        klar. wenn es tausende von usern gibt und immer eine gewisse 'kritische' masse davon online ist, sollte man die db nciht immer checken. da gebe ich euch recht. aber ansonsten würde ich es schon machen.
                        INFO: Erst suchen, dann posten![color=red] | [/color]MANUAL(s): PHP | MySQL | HTML/JS/CSS[color=red] | [/color]NICE: GNOME Do | TESTS: Gästebuch[color=red] | [/color]IM: Jabber.org |


                        Kommentar

                        Lädt...