SID's - warum ??

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • SID's - warum ??

    Hi,

    ich hab auf einer kleinen Seiten ein paar includes (footer und counter). Warum wird dort immer wieder an die Links eine SID angehängt? Ich durchschau das ganze nicht, v.a. weil die sids auf in den html Quelltext kommen, und weil die Sids nicht immer angehängt werden.

    Diesmal wäre auch ein guter Link o.k.

    Gruß,
    Syco
    [COLOR=darkblue].: 1+1=23 :.[/COLOR]

  • #2
    benuzt du vielleicht sessions?
    SQL Injection kitteh is...

    Comment


    • #3
      Die SID wird normalerweise nur an den Link mit drangehaengt wenn kein Cookie gesetzt werden kann.

      Allerdings hab ich es auch schon erlebt das die SID an die URL drangehaengt wird, obwohl ich Cookies akzeptiere (und zwar alle, auch von Drittanbietern) ... einen Grund dafuer konnte ich jedoch nie finden ....

      Comment


      • #4
        ja, ich hab allmyvisitors installiert, das nützt meines wissens nach sessions..

        Aber wie gesagt, die sid kommen und gehen wie sie wollen... Und ja, ich hab auch Cookies aktiviert..

        .. auf anderen domains hab ich auch allmyvisitors, aber keine subs (vielleicht liegts daran), und da hab ich keine sids..

        Meine Sorge ist nur die, dass auch Google Sid's angehängt bekommt.. Google spidert nämlich schon bei Variablen-Übergabe per URL kaum und streikt bei SIDs fast schon grundsätzlich...

        Gruß,
        Syco, der die (php-)Welt ned ganz versteht..
        [COLOR=darkblue].: 1+1=23 :.[/COLOR]

        Comment


        • #5
          du kannst ja session.use_trans_sid deaktivieren, dann wird die sid nich mit drangehängt
          SQL Injection kitteh is...

          Comment


          • #6
            Original geschrieben von BlobBanana
            Die SID wird normalerweise nur an den Link mit drangehaengt wenn kein Cookie gesetzt werden kann.

            Allerdings hab ich es auch schon erlebt das die SID an die URL drangehaengt wird, obwohl ich Cookies akzeptiere (und zwar alle, auch von Drittanbietern) ... einen Grund dafuer konnte ich jedoch nie finden ....
            Das ist doch auch ein riesen Quatsch den Du da erzählst ... ob die SID angehängt wird oder nicht hängt einzig und alleine davon ab ob die trans_sid aktiviert ist oder nicht ...

            ... überlege doch erstmal bevor Du so einem Quatsch postest wie das PHP-Module des Apache wohl mitbekommen soll ob Du Cookies aktiviert hast oder nicht ... der Cookie wird über den Response-Header gesendet ... frühestens mit der nächsten Request ... und dem damit gesendeten Request-Header ... könnte der Server diese Information ermitteln ...

            ... ich möchte echt mal wissen wer diesen Unsinn in die Welt gesetzt hat ...
            carpe noctem

            [color=blue]Bitte keine Fragen per EMail ... im Forum haben alle was davon ... und ich beantworte EMail-Fragen von Foren-Mitgliedern in der Regel eh nicht![/color]
            [color=red]Hinweis: Ich bin weder Mitglied noch Angestellter von ebiz-consult! Alles was ich hier von mir gebe tue ich in eigener Verantwortung![/color]

            Comment


            • #7
              Original geschrieben von goth
              Das ist doch auch ein riesen Quatsch den Du da erzählst ... ob die SID angehängt wird oder nicht hängt einzig und alleine davon ab ob die trans_sid aktiviert ist oder nicht ...


              Das weiss ich selbst ... und quatsch ist es auch nicht, denn meistens ist trans_sid aktiviert. Daher "normalerweise" ...

              ... überlege doch erstmal bevor Du so einem Quatsch postest wie das PHP-Module des Apache wohl mitbekommen soll ob Du Cookies aktiviert hast oder nicht ... der Cookie wird über den Response-Header gesendet ... frühestens mit der nächsten Request ... und dem damit gesendeten Request-Header ... könnte der Server diese Information ermitteln ...

              ... ich möchte echt mal wissen wer diesen Unsinn in die Welt gesetzt hat ...
              Ich hab nie behauptet das Apache weiss ob es ein Cookie senden kann.
              Und das das erst nach dem naechsten Request ermittelt werden kann ist mir auch klar ...

              Fakt ist nunmal das PHP die SID bei mir schonmal mit an die URL drangehaengt wurde obwohl Cookies erlaubt waren ... das ergibt zwar eigentlich kein Sinn aber war halt so ...

              Und vereinfacht kann man sagen (natuerlich nur wenn trans_sid aktiviert ist):
              Wenn Cookies beim User deaktiviert sind wird die SID an die URL mit drangehaengt ...


              Also erzaehl mir mal was so gross falsch an dem was ich geschrieben hab ist?
              Oder ist im Job-Forum nicht mehr soviel los und du musst hier jetzt leute anmachen?

              Comment


              • #8
                Cookies haben damit nix zutun.

                Du redest sicher von Session Cookies
                SQL Injection kitteh is...

                Comment


                • #9
                  Hier wird jedes Wort auf die Goldwaage gelegt

                  Dennoch muessen beim Browser Cookies aktiviert sein ... sonst-> SID an die URL (natuerlich nur wenn trans_sid aktiviert) ...

                  Comment


                  • #10
                    nix goldwage, ich nutz nur die möglichkeit auf anderen usern rumzuhacken

                    *scherz*
                    Wollt es nur mal verdeutlichen, falls es unerfahrene leser lesen sollten, sollen die Cookies=SessionCookies nicht gleich setzten
                    SQL Injection kitteh is...

                    Comment


                    • #11
                      Dann habe ich noch eine Frage: Wenn genau werden so SessionCookies versendet bzw. SID's verwendet. Ich hab da noch kein exaktes System erkennen können.

                      wenn ich das jetzt bei php.net richtig verstanden hab, kann ich use_trans_sid nur in der php.ini festlegen.. und darauf hab ich ja keinen Zugriff..
                      [COLOR=darkblue].: 1+1=23 :.[/COLOR]

                      Comment


                      • #12
                        ini_set , damit hast du zugriff, natürlich nur wenn php die rechte für die frei hat.

                        Ansonsten, ist trans_sid an, so wird die interne pfad routine umgeschrieben um automatisch sids an urls dranzuhängen, aber auch nur dann, wenn php merkt, dass der user keine cookies der sessions aktzeptiert
                        SQL Injection kitteh is...

                        Comment


                        • #13
                          .. hm .. scheinbar lässt sich da nicht viel machen:

                          http://at.php.net/manual/de/function.ini-set.php

                          session.use_trans_sid "1" PHP_INI_SYSTEM|PHP_INI_PERDIR

                          PHP_INI_PERDIR 2 Entry can be set in php.ini, .htaccess or httpd.conf
                          PHP_INI_SYSTEM 4 Entry can be set in php.ini or httpd.conf

                          Wenn ich das richtig verstanden hab, kann ich die sid's also nur per .htaccess abschalten(?) mit welcher Syntax mach ich das?
                          [COLOR=darkblue].: 1+1=23 :.[/COLOR]

                          Comment


                          • #14
                            mit htaccess klappts aber auch nicht zwingend

                            php_flag session.use_trans_sid 0

                            in eine htaccess datei schreiben
                            SQL Injection kitteh is...

                            Comment


                            • #15
                              o.k. danke, ich hab jetzt mal alle urls absolut angegeben, jetzt gibts keine sid's mehr

                              Was mich noch beschäftigt: ich dachte es wird nur das zwischen den php-Tags geparst. Warum wird dann die SId auch die Links im <html> Teil des Scripts angehängt..
                              Last edited by syco23; 30-07-2003, 16:34.
                              [COLOR=darkblue].: 1+1=23 :.[/COLOR]

                              Comment

                              Working...
                              X