Ist die globale Variable $_SESSION in PHP irgendwie durch den Surfer manipulierbar?
Muss diese Variable escaped werden?
Muss diese Variable escaped werden?
SESSION manipulierbar?
Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen
-
Manipulieren höchstens wenn register globals eingeschaltet ist.
Ansonsten ist die Session komplett auf dem Server gespeichert und der Client hat nur die Session ID damit die verknüpfung zu den Daten hergestellt werden kann.
Was mir noch bekannt ist, ist das Session Hijacking.
de.wikipedia.org/wiki/Session-Hijacking
Ansonsten kommt es auf dein Script an, wie du die Daten der Session befüllst.
Wenn du so etwas machst, dann kann der Nutzer sehr wohl auf die Inhalte der Session Einfluss nehmen.
Edit:
Ich habe gesehen, dass bei dem Wikipedia Artikel bei "Siehe auch" auch ganz nette weiterführende Links sind, die dich interessieren könnten. stolpern fördert - Code Responsibly - Ein Appell an Webentwickler -
-
Berndl schrieb:
Ich bin auch eher vorsichtig was Sessions angeht. Allerdings benutze ich sie lieber als "Cookies".
Du meinst, dasss du die SessionID beim Client in einem Cookie speicherst?
Problemematisch wirds dabei, wenn der Client keine Cookies akzeptiert.
Bei den meisten Servern ist es so eingestellt, dass Cookies bevorzugt werden (session.use_cookies, session.use_only_cookies) , aber wenn keine Cookies akzeptiert werden, dass die Session ID mittels session.use_trans_sid automatisch an die URL angehangen wird.
Aber auch in einem Cookie ist die SessionID nicht vor z.B SessionHijacking sicher. (Stichwort XSS) stolpern fördert - Code Responsibly - Ein Appell an Webentwickler
-
Teilen
-
Benutzer online 1
1 Besucher