Login-Script sicher? Session login

Antworten

Code:                   In Zwischenablage kopieren (nur IE)

---

$login_ip = getenv("REMOTE_ADDR"); $sql_session = "SELECT login_id FROM session_log WHERE login_id = '$_SESSION[login_id]' && session_id = '$_SESSION[s_id]' && session_ip = '$login_ip'";2">$login_ip    = getenv("REMOTE_ADDR");<br/>            $sql_session = "SELECT login_id FROM session_log WHERE login_id = '$_SESSION[login_id]' && session_id = '$_SESSION[s_id]' && session_ip = '$login_ip'";

---

Und damit bleiben alle AOL User draussen, weil die über einen Proxy surfen!
Da wechsel die IPs dauernd!

2.

Werde das berücksichtigen, auch wenn in der Regel von Firmennetzwerken und nicht von AOL zugegriffen werden soll.
Gibts denn eine alternative zur IP? Irgendetwas was ich mit dem Computer des zugreifenden Verbinden kann?

Danke schonmal.

3.

Zitat:

---

Irgendetwas was ich mit dem Computer des zugreifenden Verbinden kann?

---

Nein! Nur die SessionID!

4.

Feedback:
1) Der hier wird nie false:

Code:                   In Zwischenablage kopieren (nur IE)

---

if($_SESSION[s_id]!=session_id()) { session_destroy(); Header("Location:index.php"); exit(); }3">if($_SESSION[s_id]!=session_id())<br/>        {<br/>            session_destroy();<br/>            Header("Location:index.php");<br/>            exit();<br/>        }<br/>

---

PHP läd anhand der Session-ID die Daten. In diesen Daten steht bei einem Aufbau wie du ihn machst dann immer auch die selbe Session-ID. Den Sport, die Session-ID in der Session abzulegen, kannst Du Dir also schenken.

2) Dein Skript funktioniert nicht, wenn session.use_trans_sid und session.use_cookies aus sind.

3) Dein Skript produzier Notices, sollte das error_reporting auf E_ALL stehen. Im Hinblick zukünftiger Pflege und Debugging würd ich das abstellen.

4) Dein Skript ist je nach magic_quote-Einstellung anfällig für SQL-Injections.

5) Location-Header verlangen einen absoluten URI.

Gruß Jens

5.

Besten Dank Jens für das umfassende Feedback:

zu 1) Das mit der Session-ID habe ich dann nicht so ganz verstanden. Ich dachte damit geht man einigermaßen sicher, dass da nicht jmd versucht meine Session zu nutzen um sich zugriff auf das system zu verschaffen, da jedes browserfenster eine andere id erzeugen würde!?!
zu 2) Ist session.use_tran_sid nicht eine server-einstellung? oder kann der client da was verfuschen?

zu 3) habe den code, der die notices erzeugt hat, verbessert und die zeile für error_reporting(0) eingefügt.

zu 4) habe auch das verbessert. das habe ich doch richtig verstanden, dass ich das nur für den login nutzen muss. bei späteren datenaustausch zwischen code und db, muss ich das nicht jedesmal ins mysql_query einbauen!? oder ist das empfehlenswert?

zu 5) Wird bei zeiten geändert, beim testen funktioniert es noch mit dem relativen pfad

habe den code noch ein wenig in der logik optimiert. Die _POST-Variablen für Mandant, Benutzer, Password werden nicht mehr in die Session eingetragen, da sie ja nicht jedes mal übertragen werden soll, sondern nur das eine mal, beim verifiziern.

Das ganze sieht jetzt so aus.

Code:                   In Zwischenablage kopieren (nur IE)

---

<?php session_start(); error_reporting(E_ERROR | E_WARNING | E_PARSE | E_NOTICE); // Während des Programmierens // error_reporting(0); Für später if (empty($_SESSION["s_id"])) { $_SESSION["s_id"] = session_id(); echo ("<h2>LOGIN-Bereich</h2>"); echo (" <form action='index.php' method='POST'>"); echo (" <table>"); echo (" <tr>"); echo (" <td>Mandantennummer:</td>"); echo (" <td><input type='text' name='mandant' size='30' maxlength='30'></td>"); echo (" </tr>"); echo (" <tr>"); echo (" <td>Benutzername:</td>"); echo (" <td><input type='text' name='benutzer' size='30' maxlength='30'></td>"); echo (" </tr>"); echo (" <tr> "); echo (" <td>Passwort:</td>"); echo (" <td><input type='password' name='password' size='10' maxlength='10'></td>"); echo (" </tr>"); echo (" <tr>"); echo (" <td></td><td><input type='submit' value=' OK '></td>"); echo (" </tr> "); echo (" </table>"); echo (" </form>"); } else { /* ursprünglicher code geändert, 1. SESSION für mandant, benutzer, password fällt weg, wird durch $_POST ersetzt. 2. Die POST-daten sind nur bei login gefüllt und später leer, daher wird erst geprüft, ob schon ein erfolgreicher login erfolgte, wenn ja wird die prüfung der daten übersprungen. */ if($_SESSION['s_id']!=session_id()) { session_destroy(); Header("Location:index.php"); //URL wird nacher an server angepasst http://meinserver.de/index.php exit(); } if (empty($_SESSION['login_id'])) { /* Die Variablen wurden aus der Session verband. 1. Weil sie dann ja doch jedesmal mit aufgerufen werden 2. Werden Sie nur einmal benötigt, also macht es keinen Sinn, sie in einer Session abzulegen */ if ( (empty($_POST['mandant']))||(empty($_POST['benutzer']))||(empty($_POST['password'])) ) // alle 3 Angaben sind pflicht, wenn nicht wird Session zerstört wechsel von $_SESSION auf $_POST { session_destroy(); echo ("Bitte vollständige Angaben machen!<br>"); echo ("<a href='index.php'>Zurück zur Login-Seite!</a>"); exit(); } require("include/db_connection.inc.php"); //Datenparameter werden eingefügt $sql_login = "SELECT id, loginname FROM login WHERE mandant_id = '$_POST[mandant]' && loginname = '$_POST[benutzer]' && loginpasswort = '$_POST[password]'"; $result_login = mysql_query($sql_login); //'login' ist tabelle mit allen registrierten Benutzern. Es wird hier geprüft, ob die angaben richtig sind. if(mysql_num_rows($result_login)=='0') // Sollte die Angaben nicht korrekt sein, wird die Session zerstört { session_destroy(); echo("Ihr Logindaten sind nicht korrekt!<br>"); echo("<a href='index.php'>Zurück zur Login-Seite!</a>"); exit(); } $myrow_login = mysql_fetch_array($result_login); $login_id = $myrow_login["id"]; $loginname = $myrow_login["loginname"]; $login_ip = getenv("REMOTE_ADDR"); $_SESSION["login_id"] = $login_id; $_SESSION["login_name"] = $loginname; $time_temp = time(); $timestamp = date("d.m.Y - H:i", $time_temp); //Zeitstempel erzeugen mysql_query("INSERT INTO session_log (login_id, session_id, session_ip, timestamp, dauer) VALUES ('$login_id', '$_SESSION[s_id]', '$login_ip', '$timestamp', '0')", $pointer); } function quote_smart($value) // verschwindet später in einer inc.php { // stripslashes, falls nötig if (get_magic_quotes_gpc()) { $value = stripslashes($value); } // quotieren, falls kein integer if (!is_numeric($value)) { $value = "'" . mysql_real_escape_string($value) . "'"; } return $value; } require("include/db_connection.inc.php"); //$sql_session = "SELECT login_id FROM session_log WHERE login_id = '$_SESSION[login_id]' && session_id = '$_SESSION[s_id]' && session_ip = '$login_ip'"; // alte Abfrage $login_ip = getenv("REMOTE_ADDR"); // kann noch entfernt werden, wenn man AOL-Nutzer integrieren möchte // sichere Anfrage formulieren $sql_session = sprintf("SELECT login_id FROM session_log WHERE login_id = %s && session_id = %s && session_ip = %s", quote_smart($_SESSION['login_id']),quote_smart($_SESSION['s_id']), quote_smart($login_ip) ); $result_session = mysql_query($sql_session); if (mysql_num_rows($result_session) == '0') //Sollte diese Session nicht gespeichert sein, wird sie Zerstört { session_destroy(); echo("Ihr Session ist beendet!<br>"); echo("<a href='index.php'>Zurück zur Login-Seite!</a>"); exit(); } echo "Sie sind angemeldet als: ", $_SESSION['login_name']; //Ab hier kommt dann die eigentliche Anwendung/Webseite etc... }?>4"><?php<br/>    session_start();<br/>    error_reporting(E_ERROR | E_WARNING | E_PARSE | E_NOTICE); // Während des Programmierens<br/>    // error_reporting(0); Für später<br/><br/>    if (empty($_SESSION["s_id"]))<br/>    {<br/>        $_SESSION["s_id"] = session_id();<br/>    <br/>        echo ("<h2>LOGIN-Bereich</h2>");<br/>        echo (" <form action='index.php' method='POST'>");<br/>        echo ("        <table>");<br/>        echo ("            <tr>");<br/>        echo ("                <td>Mandantennummer:</td>");<br/>        echo ("                <td><input type='text' name='mandant' size='30' maxlength='30'></td>");<br/>        echo ("            </tr>");<br/>        echo ("            <tr>");<br/>        echo ("                <td>Benutzername:</td>");<br/>        echo ("                <td><input type='text' name='benutzer' size='30' maxlength='30'></td>");<br/>        echo ("            </tr>");<br/>        echo ("            <tr> ");<br/>        echo ("                <td>Passwort:</td>");<br/>        echo ("                <td><input type='password' name='password' size='10' maxlength='10'></td>");<br/>        echo ("            </tr>");<br/>        echo ("            <tr>");<br/>        echo ("                <td></td><td><input type='submit' value=' OK '></td>");<br/>        echo ("            </tr> ");<br/>        echo ("        </table>");<br/>        echo ("    </form>"); <br/>    }<br/>    else<br/>    {<br/>        /*  ursprünglicher code geändert,<br/>            1. SESSION für mandant, benutzer, password fällt weg, wird durch $_POST ersetzt.<br/>            2. Die POST-daten sind nur bei login gefüllt und später leer, daher wird erst geprüft, ob schon ein erfolgreicher login erfolgte, wenn ja wird die prüfung der daten übersprungen.<br/><br/>        */<br/><br/>        if($_SESSION['s_id']!=session_id())<br/>        {<br/>            session_destroy();<br/>            Header("Location:index.php"); //URL wird nacher an server angepasst http://meinserver.de/index.php<br/>            exit();<br/>        }<br/>        <br/>               if (empty($_SESSION['login_id']))<br/>        {<br/>                      /*    Die Variablen wurden aus der Session verband.<br/>            1. Weil sie dann ja doch jedesmal mit aufgerufen werden<br/>            2. Werden Sie nur einmal benötigt, also macht es keinen Sinn, sie in einer Session abzulegen<br/>             */<br/>            if ( (empty($_POST['mandant']))||(empty($_POST['benutzer']))||(empty($_POST['password'])) ) // alle 3 Angaben sind pflicht, wenn nicht wird Session zerstört wechsel von $_SESSION auf $_POST<br/>            {                                                                                            <br/>                session_destroy();    <br/>                echo ("Bitte vollständige Angaben machen!<br>");<br/>                echo ("<a href='index.php'>Zurück zur Login-Seite!</a>");<br/>                exit();<br/>            }<br/><br/>            require("include/db_connection.inc.php"); //Datenparameter werden eingefügt<br/><br/>            $sql_login = "SELECT id, loginname FROM login WHERE mandant_id = '$_POST[mandant]' && loginname = '$_POST[benutzer]' && loginpasswort = '$_POST[password]'";<br/>            $result_login = mysql_query($sql_login); //'login' ist tabelle mit allen registrierten Benutzern. Es wird hier geprüft, ob die angaben richtig sind.<br/><br/>            if(mysql_num_rows($result_login)=='0') // Sollte die Angaben nicht korrekt sein, wird die Session zerstört<br/>            {<br/>                session_destroy();<br/>                echo("Ihr Logindaten sind nicht korrekt!<br>");<br/>                echo("<a href='index.php'>Zurück zur Login-Seite!</a>");<br/>                exit();<br/>            }<br/><br/>            $myrow_login = mysql_fetch_array($result_login);<br/>            $login_id  = $myrow_login["id"];<br/>            $loginname = $myrow_login["loginname"];<br/>            $login_ip  = getenv("REMOTE_ADDR");<br/>            $_SESSION["login_id"]   = $login_id;<br/>            $_SESSION["login_name"] = $loginname;<br/><br/>            $time_temp = time(); <br/>            $timestamp = date("d.m.Y - H:i", $time_temp); //Zeitstempel erzeugen<br/><br/>            mysql_query("INSERT INTO session_log (login_id, session_id, session_ip, timestamp, dauer) VALUES ('$login_id', '$_SESSION[s_id]', '$login_ip', '$timestamp', '0')", $pointer);<br/><br/>        }<br/><br/>        function quote_smart($value) // verschwindet später in einer inc.php<br/>        {<br/>            // stripslashes, falls nötig<br/>            if (get_magic_quotes_gpc()) <br/>            {<br/>                $value = stripslashes($value);<br/>            }<br/>           // quotieren, falls kein integer<br/>           if (!is_numeric($value)) <br/>            {<br/>                $value = "'" . mysql_real_escape_string($value) . "'";<br/>            }<br/>           return $value;<br/>        }<br/>        <br/>        require("include/db_connection.inc.php"); <br/><br/>        //$sql_session = "SELECT login_id FROM session_log WHERE login_id = '$_SESSION[login_id]' && session_id = '$_SESSION[s_id]' && session_ip = '$login_ip'"; <br/>        // alte Abfrage<br/><br/>        $login_ip     = getenv("REMOTE_ADDR"); // kann noch entfernt werden, wenn man AOL-Nutzer integrieren möchte<br/><br/>        // sichere Anfrage formulieren<br/>        $sql_session = sprintf("SELECT login_id FROM session_log WHERE login_id = %s && session_id = %s && session_ip = %s", quote_smart($_SESSION['login_id']),quote_smart($_SESSION['s_id']), quote_smart($login_ip) );<br/><br/>        $result_session = mysql_query($sql_session);<br/>        <br/>        if (mysql_num_rows($result_session) == '0') //Sollte diese Session nicht gespeichert sein, wird sie Zerstört<br/>        {<br/>            session_destroy();<br/>            echo("Ihr Session ist beendet!<br>");<br/>            echo("<a href='index.php'>Zurück zur Login-Seite!</a>");<br/>            exit();<br/>        }<br/><br/>        echo "Sie sind angemeldet als: ", $_SESSION['login_name'];<br/>        //Ab hier kommt dann die eigentliche Anwendung/Webseite etc...<br/>    }<br/><br/>?><br/>

---

Für weitere Kritik bin ich dankbar!!

6.

$_SESSION["s_id"] = session_id(); <<-- das halte ich für überflüssig!!!(alle zugehörigen vergleiche auch)
Die Sessionvariablen werden doch sowieso nur in die Session mit DER ID geschrieben!
Das kann doch NIE anders sein!!!

session _destroy(); naja....
$_SESSION= array(); Reicht da auch
Oder wenn, dann auch richtig alles zerstören,
dort ist ein Beispiel wie man es richtig abhandelt!
Siehe: http://de2.php.net/manual/de/function.session-destroy.php



Warum verwendest du nicht: error_reporting(E_ALL);
Oder willst du gar nicht alle Fehler sehen :)

Zitat:

---

$sql_login = "SELECT id, loginname FROM login WHERE mandant_id = '$_POST[mandant]' && loginname = '$_POST[benutzer]' && loginpasswort = '$_POST[password]'";

---

Weiterhin ein Sicherheitsloch...
[doc=phpfaq]sql-injection[/doc]

require("include/db_connection.inc.php"); <-- kommt in deinem script doppelt vor
------------------------------------------------
Jetzt zu den Schönheitsfehlern...

1. Das ganze Loginformular mit echo rauszukloppen, ist wenig performant und auch unschön anzusehen...
2. Header("Location:index.php"); <<-- machs doch sofort richtig
Hier ein universal Beispiel: http://www.php3.de/header

3. require("include/db_connection.inc.php"); sowas gehört(meines Erachtens) an den Anfang des Scriptes
Du suchst dich sonst nach 2 Jahren dull, nach solchen Dingern..


------------
Ich hoffe das war jetzt nicht zu viel auf einmal....:)

7.

Zitat:

---

sirchris postete
zu 1) Das mit der Session-ID habe ich dann nicht so ganz verstanden. Ich dachte damit geht man einigermaßen sicher, dass da nicht jmd versucht meine Session zu nutzen um sich zugriff auf das system zu verschaffen, da jedes browserfenster eine andere id erzeugen würde!?!

---

In der Annahme irrst Du. Es kann zwar Fälle geben, wo mehrere Browserfenster auch unterschiedliche SIDs haben, daß ist aber erstens nicht der Normalfall, und zweitens hat das mit dem monierten Problem nichts zu tun.

Normalerweise wird PHP bei Deinem Skript folgendes machen:
- Session-ID $S generieren
- $S in $_SESSION['var'] packen
- der Inhalt von $_SESSION wandert nun in eine Datei mit dem Namen "prefix_$S".

Beim Folgeaufruf passiert dann das hier:
- PHP ermittelt aus GET, POST oder COOKIE $S
- Der Inhalt der Datei "prefix_$S" wird ausgelesen und in $_SESSION geschrieben
- Es wird geprüft ob $_SESSION['var']==$S ist.

Und nun erzähl mir bitte mal, wie das bei Deinem Skript jemals nicht der Fall sein könnte...

Zitat:

---

sirchris postete
zu 2) Ist session.use_tran_sid nicht eine server-einstellung? oder kann der client da was verfuschen?

---

Richtig. Das ist eine Server-Einstellung. Insbesondere ist es eine, auf die Du nicht bei allen Hostern freien Zugriff hast (in PHP-Version 4.2.3 bis 4.3.4 war session.use_trans_sid PHP_INI_SYSTEM|PHP_INI_PER_DIR und konnte nur per Trick 17 deaktiviert, nicht aber wieder aktiviert werden). Willst Du also, daß Dein Skript überall läuft, so musst Du berücksichtigen, daß die automatische SID-Übergabe deaktiviert sein könnte.

Zitat:

---

sirchris postete
zu 4) habe auch das verbessert. das habe ich doch richtig verstanden, dass ich das nur für den login nutzen muss. bei späteren datenaustausch zwischen code und db, muss ich das nicht jedesmal ins mysql_query einbauen!? oder ist das empfehlenswert?

---

Den musst Du nochmal übersetzen. Da hab ich jetzt nicht verstanden, was Du möchtest.

Den Rest hat Combie ja schon abgefrühstückt...

Gruß Jens

8.

Ich kann garnicht so oft einen neuen release posten, wie ihr mir änderungen entgegenschmeist ;)
Damit wir nicht durcheinanderkommen, werde ich jetzt erstmal die Punkte von combie abfrühstücken und dann von Jens
1.

Zitat:

---

$_SESSION["s_id"] = session_id();

---

Sehe ein, dass es die Prüfungen dazu keinen Sinn machen, benutze das hier allerdings um zu sehen, ob jmd frisch auf der Seite ist oder vom Formular oder durch andere Links wieder auf diese Seite verwiesen wird.
Sonst haben wir ja immer die Login-Maske da stehen.
Die Prüfungen ob die aktuelles $_SESSION("s_id") mit der session_id() zusammenpasst spare ich mir jetzt aber

2.

Zitat:

---

session _destroy(); naja....
$_SESSION= array(); Reicht da auch

---

so rein interesse halber, gibt es perfomante gründe die gegen eine sesssion_destroy() sprechen? zB tatsächlicher aufwand beim Server?
Da mein Browserfenster beim nächsten mal eh die gleiche SID bekommt, würde mir sicherlich auch ein array() reichen.

3.

Zitat:

---

error_reporting(E_ALL);

---

glaub mir, am liebsten würde ich im blindflug programmieren ;) aber du hast recht. keine Ahnung, warum ich das nicht direkt umgestellt habe.

4.

Zitat:

---

$sql_login = "SELECT id, loginname FROM login WHERE mandant_id = '$_POST[mandant]' && loginname = '$_POST[benutzer]' && loginpasswort = '$_POST[password]'";

---

habe diese und alle noch übrigen sql_queries jetzt abgesichert. Ich hoffe mein "quote_smart"-funktion berücksichtig alle eventualitäten!?


Jetzt zu den Schönheitsfehlern...

1. Das ganze Loginformular mit echo rauszukloppen, ist wenig performant und auch unschön anzusehen...
-> habe ich verbessert. Allerdings ging es mir hier momentan um die technik dahinter, daher habe ich so ein simples gebilde für den login gebastelt. Der Style kommt dann später dazu ;-)
2. Header("Location:index.php"); <<-- machs doch sofort richtig
--> Richtig!

3. require("include/db_connection.inc.php"); sowas gehört (meines Erachtens) an den Anfang des Scriptes
Du suchst dich sonst nach 2 Jahren dull, nach solchen Dingern..
und auch meines Erachtens, daher korregiert

require("include/db_connection.inc.php");
das und alles was eh nacher in ein include verschwindet, habe ich mal nach oben gepackt.

Vielen Dank an dieser Stelle
-------------
Jens

1.

Zitat:

---

Beim Folgeaufruf passiert dann das hier:
- PHP ermittelt aus GET, POST oder COOKIE $S
- Der Inhalt der Datei "prefix_$S" wird ausgelesen und in $_SESSION geschrieben
- Es wird geprüft ob $_SESSION['var']==$S ist.

Und nun erzähl mir bitte mal, wie das bei Deinem Skript jemals nicht der Fall sein könnte...

---

FALLS mir dazu noch eine Situation findet, melde ich mich, ansonsten gebe ich mich geschlagen ;)

2.

Zitat:

---

Willst Du also, daß Dein Skript überall läuft, so musst Du berücksichtigen, daß die automatische SID-Übergabe deaktiviert sein könnte.

---

wenn session.use_tran_sid deaktiviert ist, würde ich daraus verstehen, dass der server überhaupt keine session-daten speichert, ergo bringt es mir auch nicht, dass ich die sid über ein post/get übergebe.
ODER bezieht sich dies wirklich nur auf die übergabe der ID?
dann würde ich in meine formulare ja sowas einfügen wie:

Code:                   In Zwischenablage kopieren (nur IE)

---

if (session.use_tran_sid = false) <input type="hidden" name="SID" value="<?php echo $_SESSION['s_id'] ?>">5">if  (session.use_tran_sid = false)<br/>     <input type="hidden" name="SID" value="<?php echo $_SESSION['s_id'] ?>"><br/>

---

3.

Zitat:

---

sirchris postete:
zu 4) habe auch das verbessert. das habe ich doch richtig verstanden, dass ich das nur für den login nutzen muss. bei späteren datenaustausch zwischen code und db, muss ich das nicht jedesmal ins mysql_query einbauen!? oder ist das empfehlenswert?

---

also wir hatten uns ja darauf geeignet, dass ich im login-bereich, die variablen vor SQL-Injections schützen muss.
Die Frage ist jetzt, was ist mit SQL-Anweisungen, die später im Programm auftauchen. Muss ich bei jeder Abfrage, wo vom benutzer eingegebene Daten einfließen, die sicherheitsmaßnahmen gegen Injections einbauen!?
oder besser gefragt, würdest du das empfehlen!
Was ist mit SQLs die vom Anwender unabhängig sind, muss ich das da trotzdem machen?

Auch dir nochmal einen Herzlichen Danke für die unterstützung.

also "Belohnung" gibt es für euch beide jetzt auch noch mal einen neuen Release meines einmaligen Login-Scripts :P

Code:                   In Zwischenablage kopieren (nur IE)

---

<?php session_start(); error_reporting(E_ALL); // während des Programmierens // error_reporting(0); Für später require("include/db_connection.inc.php"); //Datenparameter werden eingefügt // Hier sind erstmal Dinge, die noch ausgelagert werden können function quote_smart($value) { // stripslashes, falls nötig if (get_magic_quotes_gpc()) $value = stripslashes($value); // quotieren, falls kein integer if (!is_numeric($value)) $value = "'" . mysql_real_escape_string($value) . "'"; else $value = intVal ($value); return $value; } if (empty($_SESSION["s_id"])) { $_SESSION["s_id"] = session_id(); ?> <h2>LOGIN-Bereich</h2> <form action='index.php' method='POST'> <table> <tr> <td>Mandantennummer:</td> <td><input type='text' name='mandant' size='30' maxlength='30'></td> </tr> <tr> <td>Benutzername:</td> <td><input type='text' name='benutzer' size='30' maxlength='30'></td> </tr> <tr> <td>Passwort:</td> <td><input type='password' name='password' size='10' maxlength='10'></td> </tr> <tr> <td></td><td><input type='submit' value=' OK '></td> </tr> </table> </form> <?php } else { // Die Variablen wurden aus der Session verband. // 1. Weil sie dann ja doch jedesmal mit aufgerufen werden // 2. Werden Sie nur einmal benötigt, also macht es keinen Sinn, sie in einer Session abzulegen if (empty($_SESSION['login_id'])) { if ( (empty($_POST['mandant']))||(empty($_POST['benutzer']))||(empty($_POST['password'])) ) // alle 3 Angaben sind pflicht, wenn nicht wird Session zerstört. wechsel von $_SESSION auf $_POST { $_SESSION = array(); //session_destroy(); oder beides, wenn man das will echo ("Bitte vollständige Angaben machen!<br>"); echo ("<a href='index.php'>Zurück zur Login-Seite!</a>"); exit(); } $sql_login = sprintf("SELECT id, loginname FROM login WHERE mandant_id = %s && loginname = %s && loginpasswort = %s", quote_smart($_POST['mandant']),quote_smart($_POST['benutzer']), quote_smart($_POST['password']) ); // $sql_login = "SELECT id, loginname FROM login WHERE mandant_id = '$_POST[mandant]' && loginname = '$_POST[benutzer]' && loginpasswort = '$_POST[password]'"; $result_login = mysql_query($sql_login); //'login' ist tabelle mit allen registrierten Benutzern. Es wird hier geprüft, ob die angaben richtig sind. if(mysql_num_rows($result_login)=='0') // Sollte die Angaben nicht korrekt sein, wird die Session zerstört { $_SESSION = array(); //session_destroy(); echo("Ihr Logindaten sind nicht korrekt!<br>"); echo("<a href='http://localhost/wawi_001/index.php'>Zurück zur Login-Seite!</a>"); exit(); } $myrow_login = mysql_fetch_array($result_login); $login_id = $myrow_login["id"]; $loginname = $myrow_login["loginname"]; $login_ip = getenv("REMOTE_ADDR"); $_SESSION["login_id"] = $login_id; $_SESSION["login_name"] = $loginname; $time_temp = time(); $timestamp = date("d.m.Y - H:i", $time_temp); //Zeitstempel erzeugen $sql_session = sprintf("SELECT login_id FROM session_log WHERE login_id = %s && session_id = %s && session_ip = %s", quote_smart($_SESSION['login_id']),quote_smart($_SESSION['s_id']), quote_smart($login_ip) ); $sql_log = sprintf("INSERT INTO session_log (login_id, session_id, session_ip, timestamp, dauer) VALUES (%s, %s, %s, %s, %s)", quote_smart($login_id),quote_smart($_SESSION['s_id']), quote_smart($login_ip), quote_smart($timestamp), 0 ); mysql_query($sql_log, $pointer); } //$sql_session = "SELECT login_id FROM session_log WHERE login_id = '$_SESSION[login_id]' && session_id = '$_SESSION[s_id]' && session_ip = '$login_ip'"; // alte Abfrage // sichere Anfrage formulieren $login_ip = getenv("REMOTE_ADDR"); // kann noch entfernt werden, wenn man AOL-Nutzer integrieren möchte $sql_session = sprintf("SELECT login_id FROM session_log WHERE login_id = %s && session_id = %s && session_ip = %s", quote_smart($_SESSION['login_id']),quote_smart($_SESSION['s_id']), quote_smart($login_ip) ); $result_session = mysql_query($sql_session); if (mysql_num_rows($result_session) == '0') //Sollte diese Session nicht gespeichert sein, wird sie Zerstört { $_SESSION = array(); //session_destroy(); echo("Ihr Session ist beendet!<br>"); echo("<a href='http://localhost/wawi_001/index.php'>Zurück zur Login-Seite!</a>"); exit(); } echo "Sie sind angemeldet als: ", $_SESSION['login_name']; //Ab hier kommt dann die eigentliche Anwendung/Webseite etc... }?>6"><?php<br/>    session_start();<br/>    error_reporting(E_ALL); // während des Programmierens<br/>    // error_reporting(0); Für später<br/><br/>    require("include/db_connection.inc.php"); //Datenparameter werden eingefügt<br/><br/>    //    Hier sind erstmal Dinge, die noch ausgelagert werden können    <br/>    function quote_smart($value)<br/>    {<br/>        // stripslashes, falls nötig<br/>        if (get_magic_quotes_gpc()) <br/>            $value = stripslashes($value);<br/><br/>        // quotieren, falls kein integer<br/>        if (!is_numeric($value)) <br/>            $value = "'" . mysql_real_escape_string($value) . "'";<br/>        else<br/>            $value = intVal ($value);<br/><br/>        return $value;<br/>    }<br/><br/>    if (empty($_SESSION["s_id"]))<br/>    {<br/>        $_SESSION["s_id"] = session_id();<br/>    ?><br/>        <h2>LOGIN-Bereich</h2><br/>         <form action='index.php' method='POST'><br/>                <table><br/>                    <tr><br/>                        <td>Mandantennummer:</td><br/>                        <td><input type='text' name='mandant' size='30' maxlength='30'></td><br/>                    </tr><br/>                    <tr><br/>                        <td>Benutzername:</td><br/>                        <td><input type='text' name='benutzer' size='30' maxlength='30'></td><br/>                    </tr><br/>                    <tr> <br/>                        <td>Passwort:</td><br/>                        <td><input type='password' name='password' size='10' maxlength='10'></td><br/>                    </tr><br/>                    <tr><br/>                        <td></td><td><input type='submit' value=' OK '></td><br/>                    </tr> <br/>                </table><br/>            </form> <br/>    <?php<br/>    }<br/>    else<br/>    {<br/>        //    Die Variablen wurden aus der Session verband.<br/>        //    1. Weil sie dann ja doch jedesmal mit aufgerufen werden<br/>        //    2. Werden Sie nur einmal benötigt, also macht es keinen Sinn, sie in einer Session abzulegen<br/>        <br/>        if (empty($_SESSION['login_id']))<br/>        {<br/>            if ( (empty($_POST['mandant']))||(empty($_POST['benutzer']))||(empty($_POST['password'])) ) <br/>                // alle 3 Angaben sind pflicht, wenn nicht wird Session zerstört. wechsel von $_SESSION auf $_POST<br/>            {<br/>                $_SESSION = array(); //session_destroy(); oder beides, wenn man das will    <br/>                echo ("Bitte vollständige Angaben machen!<br>");<br/>                echo ("<a href='index.php'>Zurück zur Login-Seite!</a>");<br/>                exit();<br/>            }<br/><br/>            $sql_login = sprintf("SELECT id, loginname FROM login WHERE mandant_id = %s && loginname = %s && loginpasswort = %s", quote_smart($_POST['mandant']),quote_smart($_POST['benutzer']), quote_smart($_POST['password']) );<br/><br/>            // $sql_login = "SELECT id, loginname FROM login WHERE mandant_id = '$_POST[mandant]' && loginname = '$_POST[benutzer]' && loginpasswort = '$_POST[password]'";<br/>        <br/>            $result_login = mysql_query($sql_login); //'login' ist tabelle mit allen registrierten Benutzern. Es wird hier geprüft, ob die angaben richtig sind.<br/><br/>            if(mysql_num_rows($result_login)=='0') // Sollte die Angaben nicht korrekt sein, wird die Session zerstört<br/>            {<br/>                $_SESSION = array(); //session_destroy();<br/>                echo("Ihr Logindaten sind nicht korrekt!<br>");<br/>                echo("<a href='http://localhost/wawi_001/index.php'>Zurück zur Login-Seite!</a>");<br/>                exit();<br/>            }<br/><br/>            $myrow_login = mysql_fetch_array($result_login);<br/>            $login_id  = $myrow_login["id"];<br/>            $loginname = $myrow_login["loginname"];<br/>            $login_ip  = getenv("REMOTE_ADDR");<br/>            $_SESSION["login_id"]   = $login_id;<br/>            $_SESSION["login_name"] = $loginname;<br/><br/>            $time_temp = time(); <br/>            $timestamp = date("d.m.Y - H:i", $time_temp); //Zeitstempel erzeugen<br/><br/>            $sql_session = sprintf("SELECT login_id FROM session_log WHERE login_id = %s && session_id = %s && session_ip = %s", quote_smart($_SESSION['login_id']),quote_smart($_SESSION['s_id']), quote_smart($login_ip) );<br/><br/>            $sql_log = sprintf("INSERT INTO session_log (login_id, session_id, session_ip, timestamp, dauer) VALUES (%s, %s, %s, %s, %s)", quote_smart($login_id),quote_smart($_SESSION['s_id']), quote_smart($login_ip), quote_smart($timestamp), 0 );<br/><br/>            mysql_query($sql_log, $pointer);                    <br/>        }<br/><br/><br/>        //$sql_session = "SELECT login_id FROM session_log WHERE login_id = '$_SESSION[login_id]' && session_id = '$_SESSION[s_id]' && session_ip = '$login_ip'"; <br/>        // alte Abfrage<br/><br/>        // sichere Anfrage formulieren<br/>        $login_ip     = getenv("REMOTE_ADDR"); // kann noch entfernt werden, wenn man AOL-Nutzer integrieren möchte<br/>        $sql_session = sprintf("SELECT login_id FROM session_log WHERE login_id = %s && session_id = %s && session_ip = %s", quote_smart($_SESSION['login_id']),quote_smart($_SESSION['s_id']), quote_smart($login_ip) );<br/><br/>        $result_session = mysql_query($sql_session);<br/>        <br/>        if (mysql_num_rows($result_session) == '0') //Sollte diese Session nicht gespeichert sein, wird sie Zerstört<br/>        {<br/>            $_SESSION = array(); //session_destroy();<br/>            echo("Ihr Session ist beendet!<br>");<br/>            echo("<a href='http://localhost/wawi_001/index.php'>Zurück zur Login-Seite!</a>");<br/>            exit();<br/>        }<br/><br/>        echo "Sie sind angemeldet als: ", $_SESSION['login_name'];<br/>        //Ab hier kommt dann die eigentliche Anwendung/Webseite etc...<br/>    }<br/><br/>?><br/>

---

9.

Das entwickelt sich ja so langsam zu einem richtigen "Sessionbasiertem Login Kurs" :D

Und Ja, dein Script sieht jetzt viel aufgeräumter aus! :)

Zitat:

---

Die Frage ist jetzt, was ist mit SQL-Anweisungen, die später im Programm auftauchen. Muss ich bei jeder Abfrage, wo vom benutzer eingegebene Daten einfließen, die sicherheitsmaßnahmen gegen Injections einbauen!?
oder besser gefragt, würdest du das empfehlen!

---

JA!
Daten, welche vom Browser kommen, darf GRUNDSÄTZLICH nicht vertraut werden!!
Weil:
1. es könnte ein absichtlicher Angriff dahinterstecken
2. die versehentliche Eingabe von Sonderzeichen des Benutzers kann Fehlfunktionen verursachen
Es muß also nicht mal böse Absicht dahinterstecken

Zitat:

---

Was ist mit SQLs die vom Anwender unabhängig sind, muss ich das da trotzdem machen?

---

Tja.... da würde ich mal sagen: Nicht unbedingt!
Wenn diese Daten Anführungszeichen enthalten, dann ist mysql_real_escape_string sowieso Pflicht.
Magic_Quotes können da allerdings nicht auftreten...

Zitat:

---

so rein interesse halber, gibt es perfomante gründe die gegen eine sesssion_destroy() sprechen? zB tatsächlicher aufwand beim Server?
Da mein Browserfenster beim nächsten mal eh die gleiche SID bekommt, würde mir sicherlich auch ein array() reichen.

---

Hat mit Performance nix zu tun! Sicherheit geht vor Performance!
http://de2.php.net/manual/de/function.session-destroy.php
Wenn du dem dort verewigten Codebeispiel folgst, ändert sich auch die SessionID!

Zitat:

---

$_SESSION["s_id"] = session_id();

---

Weiterhin überflüssig!
Du machst ja irgendwan:
$_SESSION["login_id"] = $login_id;
$_SESSION["login_name"] = $loginname;
Das reicht doch als Loginkennung dicke aus!!!


PS:
Die header-location weiterleitungen, hättest du ruhig drin lassen können ;)
(nur überarbeiten)

10.

Damit das hier echt nicht zum Tutorium auswächst ;) habe ich jetzt hoffentlich alles abgedeckt.

Zitat:

---

$_SESSION["s_id"] = session_id();

---

konnte ich jetzt erfolgreich entfernen ;)

Den Injection-Schutz werde ich dann zukünftig bei allen SQL-Abfragen nutzen.
Das einzige was jetzt noch offen ist, ist die Möglichkeit das die sid nicht übergeben wird.

Zitat:

---

session.use_tran_sid

---

Wie ist das jetzt mit den Sessions? Geht es wirklich nur um die übergabe der ID?

Auch auf die Gefahr hin, den absoluten Overkill erzeugt zu haben, habe ich das ganze mal ein wenig "modularisiert" (ich weiss, dass es keine richtigen module sind, aber welches wort wäre da passender??!!) damit für die index.php nur noch das Gerüst stehen bleibt, dass ich bei jeder Seite des Projekts einfügen kann.

ich werde hier nochmal alle relevanten teile aufführen.

Code:                   In Zwischenablage kopieren (nur IE)

---

index.php<?php session_start(); error_reporting(E_ALL); // während des Programmierens // error_reporting(0); Für später require("include/db_connection.inc.php"); // DB-Parameter include("include/quotesmart.inc.php"); // gegen SQL-Injections include("include/sessionkill.inc.php"); // ordentliches Löschen einer Session if (empty($_SESSION["login_id"])) { include("include/logindata.inc.php"); // Die Seite mit den Login-Formular wird includiert } else { include("include/registerlogin.inc.php"); // Hier wird der Login in die Datenbank geschrieben um dagegen zukünftig zu prüfen. Wird nur ausgeführt, wennn $_SESSION["login_id"] < 0 (sprich, bei -1 wie oben eingefügt) include("include/registeredsession.inc.php"); // Hier prüfen wir ob die Session in der Datenbank existiert //Ab hier kommt dann die eigentliche Anwendung/Webseite etc... echo "Sie sind angemeldet als: ", $_SESSION['login_name']; }?>7">index.php<br/><?php<br/>    session_start();<br/>    error_reporting(E_ALL); // während des Programmierens<br/>    // error_reporting(0); Für später<br/><br/>    require("include/db_connection.inc.php");    // DB-Parameter<br/>    include("include/quotesmart.inc.php");        // gegen SQL-Injections<br/>    include("include/sessionkill.inc.php");        // ordentliches Löschen einer Session<br/><br/>    if (empty($_SESSION["login_id"]))<br/>    {<br/>        include("include/logindata.inc.php");        // Die Seite mit den Login-Formular wird includiert<br/>    }<br/>    else<br/>    {        <br/>        include("include/registerlogin.inc.php");        // Hier wird der Login in die Datenbank geschrieben um dagegen zukünftig zu prüfen. Wird nur ausgeführt, wennn $_SESSION["login_id"] < 0 (sprich, bei -1 wie oben eingefügt)<br/>        include("include/registeredsession.inc.php");    // Hier prüfen wir ob die Session in der Datenbank existiert<br/><br/>        //Ab hier kommt dann die eigentliche Anwendung/Webseite etc...<br/>        echo "Sie sind angemeldet als: ", $_SESSION['login_name'];<br/>    }<br/>?>

---

Code:                   In Zwischenablage kopieren (nur IE)

---

logindata.inc.php<?php $_SESSION["login_id"] = -1; //Damit beim nächsten mal nicht wieder nach den Login-Daten gefragt wird?><h2>LOGIN-Bereich</h2> <form action='index.php' method='POST'> <table> <tr> <td>Mandantennummer:</td> <td><input type='text' name='mandant' size='30' maxlength='30'></td> </tr> <tr> <td>Benutzername:</td> <td><input type='text' name='benutzer' size='30' maxlength='30'></td> </tr> <tr> <td>Passwort:</td> <td><input type='password' name='password' size='10' maxlength='10'></td> </tr> <tr> <td></td><td><input type='submit' value=' OK '></td> </tr> </table> </form>8">logindata.inc.php<br/><?php<br/>    $_SESSION["login_id"] = -1; //Damit beim nächsten mal nicht wieder nach den Login-Daten gefragt wird<br/>?><br/><h2>LOGIN-Bereich</h2><br/>    <form action='index.php' method='POST'><br/>        <table><br/>            <tr><br/>                <td>Mandantennummer:</td><br/>                <td><input type='text' name='mandant' size='30' maxlength='30'></td><br/>            </tr><br/>            <tr><br/>                <td>Benutzername:</td><br/>                <td><input type='text' name='benutzer' size='30' maxlength='30'></td><br/>            </tr><br/>            <tr> <br/>                <td>Passwort:</td><br/>                <td><input type='password' name='password' size='10' maxlength='10'></td><br/>            </tr><br/>            <tr><br/>                <td></td><td><input type='submit' value=' OK '></td><br/>            </tr> <br/>        </table><br/>    </form><br/>

---

Code:                   In Zwischenablage kopieren (nur IE)

---

quotesmart.inc.php<?php function quote_smart($value) { // stripslashes, falls nötig if (get_magic_quotes_gpc()) $value = stripslashes($value); // quotieren, falls kein integer if (!is_numeric($value)) $value = "'" . mysql_real_escape_string($value) . "'"; else $value = intVal ($value); return $value; }?>9">quotesmart.inc.php<br/><?php<br/>    function quote_smart($value)<br/>    {<br/>        // stripslashes, falls nötig<br/>        if (get_magic_quotes_gpc()) <br/>            $value = stripslashes($value);<br/><br/>        // quotieren, falls kein integer<br/>        if (!is_numeric($value)) <br/>            $value = "'" . mysql_real_escape_string($value) . "'";<br/>        else<br/>            $value = intVal ($value);<br/><br/>        return $value;<br/>    }<br/>?><br/>

---

Code:                   In Zwischenablage kopieren (nur IE)

---

registeredsession.inc.php<?php // sichere Anfrage formulieren $login_ip = getenv("REMOTE_ADDR"); // kann noch entfernt werden, wenn man AOL-Nutzer integrieren möchte $sql_session = sprintf("SELECT login_id FROM session_log WHERE login_id = %s && session_id = %s && session_ip = %s", quote_smart($_SESSION['login_id']),quote_smart(session_id()), quote_smart($login_ip) ); $result_session = mysql_query($sql_session); if (mysql_num_rows($result_session) == '0') //Sollte diese Session nicht gespeichert sein, wird sie Zerstört { session_kill(); echo("Ihr Session ist beendet!<br>"); echo("<a href='http://localhost/wawi_001/index.php'>Zurück zur Login-Seite!</a>"); exit(); }?>10">registeredsession.inc.php<br/><?php<br/>    // sichere Anfrage formulieren<br/>    $login_ip     = getenv("REMOTE_ADDR"); // kann noch entfernt werden, wenn man AOL-Nutzer integrieren möchte<br/>    $sql_session = sprintf("SELECT login_id FROM session_log WHERE login_id = %s && session_id = %s && session_ip = %s", quote_smart($_SESSION['login_id']),quote_smart(session_id()), quote_smart($login_ip) );<br/><br/>    $result_session = mysql_query($sql_session);<br/>    <br/>    if (mysql_num_rows($result_session) == '0') //Sollte diese Session nicht gespeichert sein, wird sie Zerstört<br/>    {<br/>        session_kill();<br/>        echo("Ihr Session ist beendet!<br>");<br/>        echo("<a href='http://localhost/wawi_001/index.php'>Zurück zur Login-Seite!</a>");<br/>        exit();<br/>    }<br/>?><br/>

---

Code:                   In Zwischenablage kopieren (nur IE)

---

registerlogin.inc.php<?php if ($_SESSION['login_id']<0) { if ( (empty($_POST['mandant']))||(empty($_POST['benutzer']))||(empty($_POST['password'])) ) // alle 3 Angaben sind pflicht, wenn nicht wird Session zerstört. { session_kill(); // in Funktion ausgelagert echo ("Bitte vollständige Angaben machen!<br>"); echo ("<a href='index.php'>Zurück zur Login-Seite!</a>"); exit(); } $sql_login = sprintf("SELECT id, loginname FROM login WHERE mandant_id = %s && loginname = %s && loginpasswort = %s", quote_smart($_POST['mandant']),quote_smart($_POST['benutzer']), quote_smart($_POST['password']) ); // $sql_login = "SELECT id, loginname FROM login WHERE mandant_id = '$_POST[mandant]' && loginname = '$_POST[benutzer]' && loginpasswort = '$_POST[password]'"; $result_login = mysql_query($sql_login); if(mysql_num_rows($result_login)=='0') // Sollte die Angaben nicht korrekt sein, wird die Session zerstört { session_kill(); echo("Ihr Logindaten sind nicht korrekt!<br>"); echo("<a href='http://localhost/wawi_001/index.php'>Zurück zur Login-Seite!</a>"); exit(); } $myrow_login = mysql_fetch_array($result_login); $login_id = $myrow_login["id"]; $loginname = $myrow_login["loginname"]; $login_ip = getenv("REMOTE_ADDR"); $_SESSION["login_id"] = $login_id; $_SESSION["login_name"] = $loginname; $time_temp = time(); $timestamp = date("d.m.Y - H:i", $time_temp); //Zeitstempel erzeugen $sql_session = sprintf("SELECT login_id FROM session_log WHERE login_id = %s && session_id = %s && session_ip = %s", quote_smart($_SESSION['login_id']),quote_smart(session_id()), quote_smart($login_ip) ); $sql_log = sprintf("INSERT INTO session_log (login_id, session_id, session_ip, timestamp, dauer) VALUES (%s, %s, %s, %s, %s)", quote_smart($login_id),quote_smart(session_id()), quote_smart($login_ip), quote_smart($timestamp), 0 ); mysql_query($sql_log, $pointer); }?>11">registerlogin.inc.php<br/><?php<br/>    if ($_SESSION['login_id']<0)<br/>    {<br/>        if ( (empty($_POST['mandant']))||(empty($_POST['benutzer']))||(empty($_POST['password'])) ) <br/>            // alle 3 Angaben sind pflicht, wenn nicht wird Session zerstört.<br/>        {<br/>            session_kill(); // in Funktion ausgelagert<br/>            echo ("Bitte vollständige Angaben machen!<br>");<br/>            echo ("<a href='index.php'>Zurück zur Login-Seite!</a>");<br/>            exit();<br/>        }<br/><br/>        $sql_login = sprintf("SELECT id, loginname FROM login WHERE mandant_id = %s && loginname = %s && loginpasswort = %s", quote_smart($_POST['mandant']),quote_smart($_POST['benutzer']), quote_smart($_POST['password']) );<br/><br/>        // $sql_login = "SELECT id, loginname FROM login WHERE mandant_id = '$_POST[mandant]' && loginname = '$_POST[benutzer]' && loginpasswort = '$_POST[password]'";<br/><br/>        $result_login = mysql_query($sql_login); <br/><br/>        if(mysql_num_rows($result_login)=='0') // Sollte die Angaben nicht korrekt sein, wird die Session zerstört<br/>        {<br/>            session_kill();<br/>            echo("Ihr Logindaten sind nicht korrekt!<br>");<br/>            echo("<a href='http://localhost/wawi_001/index.php'>Zurück zur Login-Seite!</a>");<br/>            exit();<br/>        }<br/><br/>        $myrow_login = mysql_fetch_array($result_login);<br/>        $login_id  = $myrow_login["id"];<br/>        $loginname = $myrow_login["loginname"];<br/>        $login_ip  = getenv("REMOTE_ADDR");<br/>        $_SESSION["login_id"]   = $login_id;<br/>        $_SESSION["login_name"] = $loginname;<br/><br/>        $time_temp = time(); <br/>        $timestamp = date("d.m.Y - H:i", $time_temp); //Zeitstempel erzeugen<br/><br/>        $sql_session = sprintf("SELECT login_id FROM session_log WHERE login_id = %s && session_id = %s && session_ip = %s", quote_smart($_SESSION['login_id']),quote_smart(session_id()), quote_smart($login_ip) );<br/><br/>        $sql_log = sprintf("INSERT INTO session_log (login_id, session_id, session_ip, timestamp, dauer) VALUES (%s, %s, %s, %s, %s)", quote_smart($login_id),quote_smart(session_id()), quote_smart($login_ip), quote_smart($timestamp), 0 );<br/><br/>        mysql_query($sql_log, $pointer);                    <br/>    }<br/>?><br/>

---

Code:                   In Zwischenablage kopieren (nur IE)

---

sessionkill.inc.php<?php function session_kill() // hier wird mal ordentlich die Session vernichtet { $_SESSION = array(); if (isset($_COOKIE[session_name()])) { setcookie(session_name(), '', time()-3600, '/'); } session_destroy(); }?>12">sessionkill.inc.php<br/><?php<br/>    function session_kill() // hier wird mal ordentlich die Session vernichtet<br/>    {<br/>        $_SESSION = array();<br/>        if (isset($_COOKIE[session_name()])) <br/>        {<br/>            setcookie(session_name(), '', time()-3600, '/');<br/>        }<br/>        session_destroy();<br/>    }<br/>?><br/>

---

11.

Ich habe jetzt leider nicht alle Posts durchgelesen, deswegen wurde das womöglich bereits erwähnt:

Du sagst, du willst benutzername und Passwort nur einmal überprüfen, da diese sonst abgefangen werden können. Diese Daten liegen aber in der Session und die Session liegt auf dem Server. Das einzige was sowieso immer übertragen wird ist die Session-ID. Wieso also nicht auf jeder Seite nochmals prüfen? Falls ich das falsch sehe: "ups" ;-)

Gruss
Mendragol

12.

Zitat:

---

Wieso also nicht auf jeder Seite nochmals prüfen?

---

Weil es schon geprüft wurde.....
Jede weitere Prüfung kann doch nur TRUE ergeben.

Oder, was soll das bringen?
:( Wenn der Server gehackt wurde, hilft das alles sowieso nix :(

13.

Ja es würde nur dann etwas bewirken, wenn in der Zeit in der man eingeloggt ist, das Passwort geändert wird. Dabei kommt es auch darauf an, wielange die Session am Leben bleibt. Aber wenn z.B. ein globaler Account für mehrere Kunden besteht und man für diesen täglich per cronjob das Passwort ändern muss, dann könnte dies ganz nützlich sein ;-). Aber ok, ich gebe zu, es wäre etwas spezifisch.

14.

Zitat:

---

Mendragol postete
Aber wenn z.B. ein globaler Account für mehrere Kunden besteht ...

---

... dann ist bei der Konzeption der Softwarelösung was schief gelaufen.

Gruß Jens

15.

Zitat:

---

Jens Clasen postete
... dann ist bei der Konzeption der Softwarelösung was schief gelaufen.

---

Das wäre ja bei vielen Projekten, wie man so mitbekommt, keine Ausnahme. Es geht auch eher um den Fall der Fälle.


 

Weitere Themen

Drucker Abfragen? Domainwhois -&gt; ereg Wie muss der code richtig sein? target Ich suche ein Skript für ein Online-lexikon Text umbrechen bei Overflow Sonderzeichen („“–...) funktionieren in imagettfbbox nicht HREF nach onChange bei DropDownList SQL Datei per PHP in die Datenbank eintragen in Db diverse Zeilen updaten, neu schreiben oder löschen . . . ? append column (kolumne anhaengen) Background Color Passwortschutz will nicht If Not Exists Interaktives Menü gesucht. Warum funktioniert http://blilbablub.meinServername.de ??? DATUM und PREIS vergleichen // Probleme beim Tree Target Festplattenzugriff mit PHP mail in php Script braucht zu viel Speicher Bild laden je nach Datenbank eintrag Beziehungen von Mysql Datenbank Eine Zeile löschen Countdown in JavaScript Formmailer Entwickler gesucht Raum Köln bei texteingabe in formular buttontext ändern Zahlen länge überprüfen Image magic bilder mysql_query(&quot;UPDATE... ftp_rename oder rename News Textfeld mit datentyp versehen... ein paar fragen zu php wie hänge ich an den code dasfogende an? Flash und C++ / Wie öffne ich eine exe in Flash ... PHP und Netscape fehler Verkaufe Browsergame funktion Buchstabenanzahl im Formular ermitteln JP Graph - Werte runden? textdatei auf webserver per php-seite editieren? mail() mit Anhang nciht möglich Link per Email verschicken includes und Variablen für gesamte Anwendung verfügbar machen Newsletter in datenbank speichern und gleichzeitig versenden Ein Mal Login für alle login-erforderliche-Seite preg_match_all stoppt mitten in der Zeichenkette Parameterübergabe bei Fkt. (mit Hilfe eines Hyperlinkaufrufs) Weiter