PHP und Sessions

  • PHP und Sessions

    Hi!
    Ich würde gerne Sessions benutzen, um eine Seite von mir sicherer zu gestalten.
    Dazu muss ich ja erstmal eine Session beim Einlggen in einen Account starten:

    PHP-Quellcode

    1. <?php
    2. session_start(); //Session wird gestartet
    3. $SESSION['user_id'] = "3"; //Die User ID (ausser DB ausgelesen) wird in der Session gespeichert.
    4. ?>

    Nun frage ich auf jeder Seite die Session ab:

    PHP-Quellcode

    1. <?php
    2. session_start(); //Nimmt die aktuelle Session wieder auf oder initalisiert eine neue falls keine vorhanden
    3. if ($SESSION['user_id'] == "")
    4. {
    5. die("nicht eingeloggt");
    6. }
    7. else
    8. {
    9. ...
    10. }


    Oder wie kann man am besten (ich hab keine Ahnung...) durch eine Session feststellen und übergeben, wenn sich wer einloggt (ein Loginsystem durch eine Session realisieren)?
    Wie kann ich auf sichere Weise Daten in der Session übegeben?
    Ich hab mir schon viel auf php.net durchgelsen, steig da aber noch nicht durch... :angry:

    und btw, wie stell ich fest, ob die Session mit Cookies oder Get oder so funktioniert, wie kann ich das einstellen (als Serveradmin / nichtadmin)?
    Fragen über Fragen...
    hoffe, ihr könnt mir da helfen ^^
    mfg
    Die Japaner glauben jetzt auch, sie könnten den Superrechner verkaufen. Das wäre
    so, als würde man einen Jumbo-Jet nehmen, vorne und hinten die Spitzen absägen,
    davon 10 Stück zusammenschweißen und als ultimativen Super-Jet verkaufen.

  • auf php.net habe ich was gelesen von, dass sessions in coockies gespeichert werden oder per post oder get übergeben werden oder so... :blink:
    Die Japaner glauben jetzt auch, sie könnten den Superrechner verkaufen. Das wäre
    so, als würde man einen Jumbo-Jet nehmen, vorne und hinten die Spitzen absägen,
    davon 10 Stück zusammenschweißen und als ultimativen Super-Jet verkaufen.

  • Wenn Sie z.B. Benutzer vor einfachen Social Engineering Tactics (Anm. des Übersetzers: Techniken der Ausnutzung menschlicher Schwächen) schützen wollen, müssen Sie session.use_only_cookies aktivieren. Cookies müssen dann benutzerseitig auf jeden Fall aktiviert sein, weil Sessions sonst nicht funktionieren.

    schau mal..
    a) in die php.ini
    oder b) hinter die funktion <?php echo phpinfo(); ?>
    vielleicht steht da was von session.use_only_cookies..
    bei mir ist es deaktiviert

  • mk, mach ich ma
    morgen werde ich das mal ausprobieren und dann mal schauen, ob cihs hinbekomme...
    muss ja klappen!
    ansonsten weiss ich ja, wen ich fragen muss! :D
    Die Japaner glauben jetzt auch, sie könnten den Superrechner verkaufen. Das wäre
    so, als würde man einen Jumbo-Jet nehmen, vorne und hinten die Spitzen absägen,
    davon 10 Stück zusammenschweißen und als ultimativen Super-Jet verkaufen.

  • bei nem login-script hast du ja bestimmt, ein passwort, was du übergibst. das kannst du zusammen mit der user-id in der session speichern und per funktion prüfen, ob die sachen stimmen. wenn ja, dann kannst du ne variable $logged_in = "yes" setzen. wenn register_globals an ist, ist das ganze natürlich schwachsinn, weil total unsicher. aber ansonsten ist es ne gute sache.