Sicherheit: SQL-Query Übergabe mit Sessions (ohne Cookies)

Re: Sicherheit: SQL-Query Übergabe mit Sessions (ohne Cookies)

An deine Session-Daten kommt man von außen nicht ran, richtig.

Gefahr besteht eher an den Stellen, wo du Eingabedaten in deine Query aufnimmst, diese musst du also auf dem üblichen Weg absichern.

wenn ich was falsch sage, dann bitte um korrektur

1)ich glaube, dass es keine rolle spielt ob session mit coockis oder ohne funktioniert, da bei session nur session_id per Request weitergibt.
die Session Variablen werden auf dem server geschpeichert .
also du kannst ruhig session.use_cookies benutzen(was meine meinung nachsogar mehr sicherheit bietet).

2)Risiko auf deine session daten zu kommen ist zimmlich gering, aber nicht ausgeschlossen.
z.bs wenn jemand wärend lebensziklus von einer session_id die gleiche übergibt (lotto gewinnen ist leichter) kann dein script nicht mehr unterscheiden um welche person es sich handelt.
diese risiko kann man noch mal verkleinen, wenn mann zusätzlich ein zufallszahl mit session_id in browser übergibt, der mit beliebigen request-methoden (ausser session) weiter gegeben wird und in zusammenhang mit session_id berücksichtigt.

3)Und das bringt alles nichts, wenn user wärend einer Transaktion auf die tualete geht, oder jemand direckt an seiner Leitung lauscht.
Sogar ssl bringt keine garantie in solchen fällen.

Diese Aussagen besieren auf meinem Wissen, was leider nicht als Expertenaussage verstanden muss, aus diesem Grund bitte ich meine Fehler zu korregieren.

Danke
Slava

Na ja, man-in-the-middle-Attacken dürften aber schon nicht ganz einfach sein.

Und auf andere Weise dürfte es kaum möglich sein, die verschlüsselte Kommunikation zwischen Server und Client abzuhören und zu verstehen.

ich habe aber gehört, dass wärend schlüssel austausch ist ssl protocol sehr verletzbar.
und bei der Variante mit "kurz auf die Tualete gehen" sowieso