#26
| ||||
| ||||
naja php macht das ja automatisch mit der session über cookie oder halt link... mfg __________________ Björn C. Klein Welt-Held! PunkRockNews.de |
#27
| ||||
| ||||
Kannst du doch selber beeinflussen, wie das übergeben wird. Ist ja nicht so die große Kunst. |
#28
| ||||
| ||||
@ciruZ Wenn ich mir die Beiträge so durchlese ist im pbb ein Session System welches genauso arbeitet wie das von PHP. Warum also ein eigenes schreiben?? Das wird mir immer noch nicht klar. Die Systeme die ich kenne und ein eigenes Session System integriert haben, nutzen es um die höchstmögliche Sicherheit zu gewährleisten und überprüfen Daten wie IP, Browser usw., direkt bei der Abfrage, aber soetwas gibts ja scheinbar bei dir nicht. Du hattest angesprochen das es mit Proxys Probleme geben kann. Dazu möchte ich nur anmerken das die meisten Proxy Server die korrekte IP übergeben, und zwar in der Variable $_SERVER['HTTP_X_FORWARDED_FOR'] und ich behaupte jetzt einfach mal das die meisten Benutzer die Proxys ihres Hosters nutzen und wenn jemand schon nen anonymen Proxy nutzen muss, ist er entweder paranoid oder hat etwas ausgefressen, und so einen möchte man ja nicht unbdingt als Nutzer haben. Ach ja, ich hätte gern ein paar Bugs im PHP Session System genannt, da du sie ja schon mehrmals erwähnt hast wirst du sie ja kennen. __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#29
| ||||
| ||||
Zitat:
Das einzige was entfernte Ähnlichkeit mit einem Bug hat ist das Phänomen das man selbst bestimmen kann wie die SID lauten soll. Das dieses Verhalten aber so korrekt ist habe ich ja bereits erläutert. Denn auch wenn "abc" ein wenig kurz ist, ist es doch eine korrekte SID. Das mit dem Browser war nur ein beispiel, denn dies habe ich jetzt schon öfter in Session Systemen gesehen. __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#30
| ||||
| ||||
Zitat:
Genauso könnte er Serveradmin aber jeden Benutzer den Zugriff auf jede DB geben. Zitat:
Woher soll PHP wissen ob ein Browser Cookies annimmt oder nicht wenn es das nicht probiert?? Zitat:
__________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#31
| ||||
| ||||
Zitat:
__________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#32
| ||||
| ||||
Zitat:
Du kannst PHP so konfigurieren das er genau das gewünschte Verhalten aufweist. Man aktiviere dazu nur: session.use_trans_sid __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#33
| ||||
| ||||
Zitat:
__________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#34
| ||||
| ||||
Zitat:
__________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#36
| ||||
| ||||
Zitat:
Zitat:
__________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#37
| ||||
| ||||
Also, ich frage mich jetzt eines. Wenn in deine Augen Fehler in älteren PHP Versionen bereits ein Kriterium sind um ein eigenes Sessionsystem zu programmieren, wie gehst du dann mit anderen Sicherheitslücken eines Webservers um? Abgesehen davon, wer sagt das dein Sessionsystem sicherer ist. Sofern dein Forum irgendwann als Download verfügbar sein wird, finden sich auch dort Sicherheitslücken. |
#38
| ||||
| ||||
Zitat:
Und was war in späteren Versionen?? Du sagst immer, es war was, es ist was drin, nun nenn doch endlich mal etwas. Ansonsten bestätigst du nur meine Meinung, das du eine Rechtvertigung für ein eigenes Session System brauchst, und es in deinem fall keinen wirklichen grund dafür gibt. __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#39
| ||||
| ||||
Zitat:
Du hast übrigends vergessen auf die Frage von reimer zu antworten. __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#40
| ||||
| ||||
wiw? also ich benutzt das php session sys und muss sagen das ich keine probleme damit habe.. mfg __________________ Björn C. Klein Welt-Held! PunkRockNews.de |
#42
| ||||
| ||||
öhm trottel ich *gg* hab das doch selber bei mir eingebaut *gg* mfg __________________ Björn C. Klein Welt-Held! PunkRockNews.de |
#43
| ||||
| ||||
Also jetzt möchte ich auch (nocheinmal) etwas dazu sagen: Ich finde das PHP Sessionsystem mehr als ausreichend und es bedeckt auch fast alle meine Wünsche die ich an dieses stelle. Von Securitybugs mag ich da nicht reden, wie ciruZ. Für ein größeres Projekt, wie z.B. meine Forensoftware, werde ich aber auch mein eigenes Sessionsystem programmieren, ich sehe dort den Sinne drinne zwei Fliegen mit einer Klappe zu schlagen. Ein eigenes Sessionsystem hat auch gegenüber dem vom PHP Vorteile, dass man nicht auf spezifische Funktionen (z.B. ini) von PHP zugreifen muss, die vielleicht vom Webhoster deaktiviert wurden. Für kleinere Projekte wie z.B. an der Ramsau Page wo ich gerade drann arbeite und ein komplett eigenes kleines Forum programmiere, reicht mir das PHP Sessionsystem. __________________ Frederic Schneider WoltLab Team / WoltLab Wiki / GamePorts / Frederic Schneider / neuer-patriotismus.de |
#44
| ||||
| ||||
Zitat:
Was aber unprofessionel ist, sich auf Security Bugs zu beziehen die es nicht gibt, bzw. von dem es nur einen in der betaphase von PHP4 gab (eine Version die nie für den produktiven Einsatz freigegeben wurde). Ich selber habe auch ein eigenes Session System integriert. Dies habe ich getan um spezielle Überprüfungen auf die Zugehörigkeit eines Users zu ermöglichen, und dann direkt von Fall zu Fall zu entscheiden was zu tun ist. Würde mir das PHP Session System es ermöglichen noch vor dem öffnen einer Session die Zugehörigkeit eines Benutzers zu überprüfen. Könnte ich mir sogar vorstellen es einzusetzen. Dem ist aber nicht so. __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#45
| ||||
| ||||
Zitat:
Wie gesagt will ich die entsprechenden Daten aber prüfen bevor die Session geöffnet wurde. __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#46
| ||||
| ||||
Zitat:
Im übrigen ist bei mir die Überprüfung direkt im Query eingebettet, sodass rein theoretisch verschiedene User die gleiche SID haben könnten, die Session jedoch andere Daten enthält. __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#47
| ||||
| ||||
Zitat:
MySQL wurde speziell darauf ausgerichtet Große Datenmengen zu verwalten und die richtigen (oder gar keine) zu liefern. Haben die richtigen Spalten einen Index sollte es rein theoretisch genauso schnell, vielleicht sogar schneller sein als wenn ich alle Ergebnisse einer SID hole und jeweils überprüfe. (Nicht vergessen, mehrere User können bei mir die gleiche SID haben, theoretisch zumindest ) Allerdings wäre dazu ein Benchmark nötig, deswegen macht es eigentlich keinen Sinn sich über den Punkt zu streiten. __________________ Fabian Martin Fabian Martin Blog | Twitter | XING |
#48
| |||
| |||
Ich verwende für mein kleines billig-Forum auch ein eigenes Session-System... allerdings im Prinzip noch ohne sid (zum entwickeln reichen mir Cookies...). Vorteil ist klar... man kann Useronline-List usw. direkt mit einbinden. Das geht mit PHP nicht... Ausserdem ist mein einziger Versuch das zu verwenden gründlich in die Hose gegangen... (nach drei Klicks war die Session gelöscht...) __________________ Patrick Gotthardt Patrick Gotthardt on Software |
Stichworte |
- |
Themen-Optionen | |
Thema bewerten | |