Sessions richtig einsetzten

**onemorenerd** · 02.09.2005, 10:02

Der Ansatz ist der wohl meistgenutzte und das wäre er wohl nicht, wenn er nicht sicher wäre.
Aber der Ansatz allein ist keine Garantie für eine sichere Seite, man kann schließlich jeden Ansatz wie ein Scheunentor umsetzen.

Nach dem Login legst du irgendetwas in der Session ab, um den Login-Status des Users auf den folgenden Seiten zu kontrollieren oder legst du die aktuelle Session-ID in der DB ab und fragst diese auf jeder Seite ab? Also bissl mehr Details für genauere Aussagen ...

**galaxy2** · 02.09.2005, 10:31

Genau an der Stelle bin ich mir unsicher wie ich weiter vorgehen soll/ das ist der Punkt den ich verbessern möchte.

Nach einem erfolgreichen login frage ich auf den darauf folgenden Seiten
immer wieder das passwort und den Usernamen aus dem $_SESSION
Array ab und loge mich dann neu auf der Datenbank ein um Daten aus der Db auszulesen.

Dies möchte ich jedoch umstellen auf einen persistenten login.
Somit muss ich dann ja nicht mehr auf jeder Seite das Passwort und den User aus dem Array $_Session für einen login auslesen.

Die darauffolgenden Seiten kann man nicht aufrufen, ohne die Login-Seite
besucht zu haben und sich erfolgreich einzulogen.

Reicht dieser Schutz und der, das der login erfolgreich sein muss aus um die Session einigermassen dicht zu machen?

Die Sessionid benutze ich gar nicht, weis nämlich nicht wofür das gut sein soll.

Danke für Anregungen

**bitesser** · 02.09.2005, 10:40

Also Du musst in Deiner Session schon irgendeine Validierung mitführen, die Du in allen Deinen Seiten abprüfst, sonst könnte der User ja auf alle Seiten ausser auf die Login Seite zugreifen, auch ohne, dass er eingelogged ist.
Also wir führen in der Session meist die ID des Users mit, der sich eingelogged hat, so haben wir in allen Seiten zugriff auf die Usereigenschaften, und somit seine Rechte.

**galaxy2** · 02.09.2005, 11:50

Ich habe auf allen meinen nahfolgenden Seiten diesen Teil in ähnlicher Weise stehen:

PHP-Code:


if (isset($_POST["send"]) || $_SESSION["x_to_menu"]==1)

   {

    // wird gelöscht, da sonst auch andere Seiten auf menu.php zugreifen können.

    // Diese Var wird auf den Verlinkenden Seiten immer wieder gesetzt.

    unset($_SESSION["x_to_menu"]);

   }

   else {

       header( 'Location: ./login.php' );

       exit();

    }

Somit kann keiner "quer" in die Session einsteigen, wenn er nicht über die Seite Login (dort existiert der Button send)kommt.

$_SESSION["x_to_menu" ] wird auf allen Seiten gesetzt, welche auf diese Seite verlinken.

Also muss man doch zwingend über den Login kommen. Oder liege ich da falsch?

Zur Session ID:

Kann mir mal jemand kurz sagen wie ich diese am besten erzeuge und sie dann auf den nächsten Seiten abfrage. Sie wird doch auf der ersten Loginseite mit irgendeinem Wert gesetzt. Wie kann ich denn auf den darauffolgenden Seiten prüfen ob es sie gibt? ODer bessr gefragt wass soll das?

Gibt es dazu ein Script/Anleitung oder kann mir jemand mal den Vorgang mit der Id kurz beschreiben?

Danke

Sessions richtig einsetzten