tutorial für sessionvariablen in mysql-db speichern

**Shurakai** · 21.02.2006, 18:03

es wird nur die sessionid im cookie gespeichert

**jahlives** · 21.02.2006, 18:14

Schau dir mal session_set_save_handler() und v.a. die drunterstehenden Usernotes an. Ist zwar kein Tut, sieht aber brauchbar aus.

Gruss

tobi

**kalleplom** · 21.02.2006, 18:21

aha, interessant..

wenn ich ehrlich bin, bin ich nur auf diese idee gekommen, weil ich so das gefühl habe, dass die sessionvariablen aus den cookies mir meinen string mit umlauten durcheinaderwürfeln und dann nur noch mist bei rauskommt.
(ich hoffe ich zettel jetzt nichst an ...

)

ist die sache mit der db nicht auch viel sicherer als cookies zu verwenden?

in PEAR gibt's doch sowas auch, nicht wahr?
ich wollt das aber selber machen.

**jahlives** · 21.02.2006, 18:26

ist die sache mit der db nicht auch viel sicherer als cookies zu verwenden?

Wüsste nicht warum dem so sein sollte. Aber vllt weiss hier einer der Gurus genaueres

Gruss

tobi

**kalleplom** · 21.02.2006, 18:37

könnte es nicht sein, dass andere programme, seien's trojaner die cookies, bzw lokal gespeicherten variableninhalte aus lesen?

**jahlives** · 21.02.2006, 18:47

Wie bereits von Shurakai erwähnt speicherst du nicht die Werte der einzelnen SessionVars im Cookie sondern nur die Session ID. Anhand des übermittelten Session ID weiss der Server dann, welches $_SESSION-Array verwendet werden soll --> erst dann greift er auf die einzelnen Werte zu. Der Clou an Sessions ist es ja, dass du die Inhalte der Vars nicht zu übertragen brauchst, du ordnest sie nur einem Array zu, das über Session ID zu identifizieren ist.
Wenn jemand deine Session ID hat, kann er zwar nicht auf die Vars zugreifen, kann sich jedoch gegenüber dem Server als Du ausgeben und z.B deinen Warenkorb einsehen.

Gruss

tobi

**Shurakai** · 21.02.2006, 19:24

Wenn jemand deine Session ID hat, kann er zwar nicht auf die Vars zugreifen, kann sich jedoch gegenüber dem Server als Du ausgeben und z.B deinen Warenkorb einsehen.

Weshalb ja auch jeder auf IP und Browser checkt um wenigstens noch etwas mehr Sicherheit zu bekommen...

**kalleplom** · 21.02.2006, 19:42

na, ist das dann etwa kein sicherheitsproblem?

**jahlives** · 21.02.2006, 19:47

na, ist das dann etwa kein sicherheitsproblem?

Und wie willst du das umgehen ? Auch bei der Version mit der DB musst du ja eine Session ID übermitteln und wenn die geschnappt wird bist du wieder gleichweit.
100% Sicherheit und Shop ist nicht drin (100% Sicherheit und www ist auch nicht drin

Gruss

tobi

**kalleplom** · 21.02.2006, 21:14

ok, danke für den hinweis.

ich hab mir jetzt die klasse genommen und ein wenig angepasst.
das geht ja ganz gut.

nur versteh ich nicht so recht welchen sinn das überhaupt hat, da die variablen und deren werte ja doch noch im /tmp ordner auftauchen.
also wird das doch doppelt geschrieben.

ich dachte man kann die sache auch erledigen, ohne dass irgendwas lokal abgespeichert wird.

in meinem tollen buch steht was von .htaccess ändern, bzw ergänzen, so dass einige einstellungen der php.ini überschrieben werden.

sagt der eintrag "php_value session.save_path 'php_sessions' "
nicht aus, dass die werte gar nicht mehr lokal, sondern in dem neu zugewiesenen pfad geschrieben werden, der hier wohl ne db verbindung ist?
leider wird hierzu im buch nicht weiter darauf eingegangen, daher meine blöden fragen.

sorry.

**kalleplom** · 21.02.2006, 21:18

oder doch nicht?
ich versteh das nicht.
jetzt wird zwar ne datei angelegt, die den namen der session id hat, aber jetzt steht nichts mehr drin.

tutorial für sessionvariablen in mysql-db speichern