PHP Sessions

Re(4): PHP Sessions

hurt — Tue, 16 Nov 2004 17:11:45 GMT

koenntest du dir mal das anschauen und mir sagen was du von dem script haeltst bzw ob es sicher ist?

http://forum.geizhals.at/t289819,1931211.html#1931211

Re(18): PHP Sessions

hurt — Tue, 16 Nov 2004 17:07:50 GMT

thanks =)

Re(17): PHP Sessions

mIstA — Tue, 16 Nov 2004 16:32:54 GMT

Kleiner Tipp: Wennst auf sein Posting antwortest ist die Chance vermutlich größer, daß er Deine Frage mitkriegt.

Re(16): PHP Sessions

hurt — Tue, 16 Nov 2004 16:28:32 GMT

und "olli"?

was ist deine meinung?

mal eine 3. meinung einholen =)

Re(15): PHP Sessions

mIstA — Mon, 15 Nov 2004 18:29:06 GMT

Viel kann man zu den kurzen Code-Schnippseln net wirklich sagen; arbeitest Du mit
register_globals on? - Das birgt immer verschiedenste Sicherheitsrisiken:
http://www.php.net/manual/en/security.globals.php

Re(14): PHP Sessions

hurt — Mon, 15 Nov 2004 17:51:45 GMT

danke

und was sagst du zum MENU.PHP und HAUPTFRAME.PHP - script?

ist das soweit ok und "sicher"?

nur mal eine 2. meinung einholen =)

Re(13): PHP Sessions

mIstA — Mon, 15 Nov 2004 17:50:24 GMT

jo, und das einfach nur wenn man javascript deaktiviert

Oder wenn er einfach die Javascript-Abfragen aus Deiner HTML-Seite entfernt.

kann man das irgendwie abfragen ob aktiv od inaktiv?

Ja - mittels Javascript; aber natürlich nicht wirklich manipulationssicher.

wenn nicht muss ich das halt alles zusaetzlich (oder nur, ohne javascript) mit PHP machen

So ist es! - Du darfst niemals irgendwelchen Daten vertrauen, die Du vom Client gesendet bekommst.

Re(12): PHP Sessions

hurt — Mon, 15 Nov 2004 17:43:01 GMT

jo, und das einfach nur wenn man javascript deaktiviert

kann man das irgendwie abfragen ob aktiv od inaktiv?

wenn nicht muss ich das halt alles zusaetzlich (oder nur, ohne javascript) mit PHP machen

Re(11): PHP Sessions

mIstA — Mon, 15 Nov 2004 17:40:56 GMT

Direkt auf den mysql-Server kann er natürlich nicht zugreifen, aber er kann Deinem PHP-Script jede beliebige Zeichenkette als Usernamen oder Passwort übergeben - egal was Du via Javascript erlauben würdest oder nicht.

Wenn er dabei einen String in der Art, wie sie Japh weiter oben schon beschrieben hat, schickt, dann hast Du eine 'users' Tabelle gehabt.

Re(10): PHP Sessions

hurt — Mon, 15 Nov 2004 17:30:07 GMT

koennte er nicht weil er ja die daten fuer die connection zum mysql server nicht hat. also datenbankname, user, passwort etc.

oder?

Re(9): PHP Sessions

mIstA — Mon, 15 Nov 2004 17:22:28 GMT

wenn nicht muss ich die ganzen ueberpruefungen halt in PHP machen

Unbedingt! - Alles was Du in Javascript machst, bietet Dir genau 0 Sicherheit!
Jeder könnte sich z.B. die Seite lokal speichern, die Prüfungen rauslöschen und sich über die veränderte Seite 'anmelden'.

Re(8): PHP Sessions

hurt — Mon, 15 Nov 2004 17:18:19 GMT

hm, und da gibts keine luecke wie man das script irgendwie umgehen kann???
sorry, aber es schaut wirklich zu einfach aus =)
in der session steht dann auch nur der username drinnen und kein passwort etc. (das find ich gut), fuer den fall dass jemand die session "hacken" will oder so sieht er nur den usernamen.

-----

wegen der anmeldung ...

ich hab mal mittels javascript folgendes gemacht
man darf nur A-Z, a-z und 0-9 verwenden in den feldern. aber das problem ist - was ist wenn man javascript irgendwie deaktiviert? kann man das abfragen? mit javascript wohl kaum, wenns deaktiviert ist =)

wenn nicht muss ich die ganzen ueberpruefungen halt in PHP machen

Re(7): PHP Sessions

japh — Mon, 15 Nov 2004 17:07:56 GMT

okay, jetzt ist's mir klar - und es passt was du machst, auch wenn's (zu) einfach aussieht.

das mit der moeglichen sql injection in deinem code solltest du dir aber anschaun.

Re(6): PHP Sessions

hurt — Mon, 15 Nov 2004 16:20:43 GMT

'"bei der abfrage nach dem einloggen dann select 1 from users where session_id = '$_SESSION['sessionuser']' und abfragen ob das ein resultat bringt"

aber die session_id ist ja nicht gleich $_SESSION['sessionuser'] ! die variable $_SESSION['sessionuser'] ist ja nur eine variable der session, da steht der username drinnen, nicht die session_id.

---

"nur ion php abfragen ob die session id existiert ist zu wenig - nimm an ich schick dir als session id sowas wie "bla". nach deinem code bin ich dann eingeloggt..."

aber ich frag ja nicht ab ob eine session_id existiert oder nicht. ich frag ab ob die variable $_SESSION['sessionuser'] in der session_id gesetzt ist oder nicht, und die wird nur gesetzt wenn man sich erfolgreich angemeldet hat !

Re(5): PHP Sessions

japh — Mon, 15 Nov 2004 15:57:13 GMT

>das schaut mir irgendwie zu einfach aus.

da hast du recht, das ist zu wenig.

richtig: beim anmelden nach dem passwortpruefen session id erzeugen, dann die session id in die db speichern - also z.b. ein weiteres feld in den user table und die session id nach dem erzeugen dort inserten (update users set ...).

bei der abfrage nach dem einloggen dann select 1 from users where session_id = '$_SESSION['sessionuser']' und abfragen ob das ein resultat bringt. nur ion php abfragen ob die session id existiert ist zu wenig - nimm an ich schick dir als session id sowas wie "bla". nach deinem code bin ich dann eingeloggt...

an deinem code ist noch was broken - naemlich dass du einen userinputstring einfach in das sql stopfst. nimm an ein boeser mensch gibt beim usernamen folgenden string ein:

bla-user'; delete from users;

schau dir

http://at2.php.net/manual/en/function.mysql-query.php

an, besonders den kommentar von "krang at krang dot org dot uk"

Re(4): PHP Sessions

hurt — Mon, 15 Nov 2004 15:29:49 GMT

>und auf allen seiten wo man angemeldet sein muss wird nur geprueft ob
>die variable $_SESSION['username'] gesetzt ist

ob sie gesetzt ist reicht nicht, du musst auch pruefen ob sie in der db steht, also gueltig ist (aber ich denke das meinst du eh implizit).

-----

nicht ganz, ich wollte wissen ob es so sicher ist (funktionieren tut es)...

ich habe 2 frames, ein menu und ein hauptfenster.

kurze auszuege aus der MENU.PHP:

session_start();
session_register('sessionuser');
---
$securepass = md5($formpass);
$result = mysql_query("SELECT user,pass FROM users WHERE user='$formuser' AND pass='$securepass'");
---
if ($row[0] == $formuser && $row[1] == $securepass)
   $_SESSION['sessionuser'] = $formuser;
---
dann noch das formular selbst...
<form name="loginform" action="menu.php?do=checkform" method="POST">
input type="text" name="formuser" size=13 maxlength=25>
input type="password" name="formpass" size=13 maxlength=25>
</form>
---
natuerlich gibt es auch eine abfrage ob der user registriert ist etc. die hab ich mal weggelassen. also sobald der user richtigen username und richtiges passwort eingibt wird die session-variable $_SESSION['sessionuser'] zum usernamen! im der MENU.PHP ist noch ein link zum Hauptframe ...

das script im HAUPTFRAME.PHP:

session_start();
---
if($_SESSION['sessionuser'] == "") {
   FEHLERMELDUNG DASS MAN NICHT ANGEMELDET IST
} else {
   ZUGANG ERLAUBEN
}

das schaut mir irgendwie zu einfach aus.
drum wollt ich fragen ob das die normale vorgehensweise ist um sowas zu loesen
kann ich mir naemlich nicht vorstellen =)

helft mir bitte =)

Re(3): PHP Sessions

japh — Mon, 15 Nov 2004 12:22:14 GMT

ganz versteh' ich es nicht, aber:

>und auf allen seiten wo man angemeldet sein muss wird nur geprueft ob
>die variable $_SESSION['username'] gesetzt ist

ob sie gesetzt ist reicht nicht, du musst auch pruefen ob sie in der db steht, also gueltig ist (aber ich denke das meinst du eh implizit).

>wuerd das so in etwa passen oder wo muss ich da sicherheitstechnisch noch
>was aendern?

ich denke das passt schon fuer's erste. sessions loeschen nach gewisser inaktivitaet (vielleicht 24h) sollte man allerdings schon noch machen.

Re(2): PHP Sessions

hurt — Sun, 14 Nov 2004 21:22:21 GMT

hi wieder
hab ganz vergessen dass ich den beitrag noch offen hab =)

ich hab jetzt eine tabelle in der datenbank wo username und password (verschluesselt mit md5()) drinnensteht.

des weiteren hab ich eine seite mit frames

im menu-frame gibt es ein form-field mit username und passwort. wenn man sich anmeldet wird die variable $_SESSION['username'] zum username, solange bis man sich ausloggt (session_destroy()).
des weiteren existiert im menu-frame ein link ins hauptframe - wenn man ihn anklickt ohne dass man angemeldet ist kommt im hauptframe die meldung dass man hierfuer angemeldet sein muss (es wird ueberprueft ob die variable $_SESSION['username'] gesetzt ist).
und auf allen seiten wo man angemeldet sein muss wird nur geprueft ob die variable $_SESSION['username'] gesetzt ist (die ueberpruefung mit passwort zum passenden user erfolgt ja eh beim einloggen - kein erfolgreiches einloggen - keine Session.

wuerd das so in etwa passen oder wo muss ich da sicherheitstechnisch noch was aendern?

soll ich das passwort noch mit in die ueberpruefung nehmen? aber das hilft ja auch nichts, oder? das steht ja eh auch mit md5() verschluesselt in der datenbank.

danke
michi

Re(3): PHP Sessions

japh — Fri, 12 Nov 2004 15:57:36 GMT

ah, okay, danke.

dann halt' ich mich mal lieber raus aus dem thread, weil bei so was tu ich mir mit dem "einfachhalten" ein bisserl schwer...

Re(2): PHP Sessions

Taggy — Fri, 12 Nov 2004 15:35:54 GMT

Ich glaub das geht zu weit, er wollte eigentlich nur wissen ob es auf den Folgeseiten ohne weiteres möglich wäre mit Kenntnis über den Usernamen unter seinem Namen einzuloggen wenn er den Usernamen irgendiwe mitgibt.

Dem letzten Thread zu Folge hat er erst mit PHP angefangen, geht's gemächlich an die Sache heran.

Re: PHP Sessions

japh — Fri, 12 Nov 2004 12:52:52 GMT

es ist prinzipiell okay, aber nicht sicher gegen session hijacking. ein angreifer koennte die session id herausfinden / raten und dann arbeiten waehrend der user eingeloggt ist, oder der user vergessen hat sich auszuloggen. daher zuallererst einmal last_access in die session schreiben und sessions nach gewisser zeit von inaktivitaet loeschen.

gegen session hijacking hilft ein zweiter an anderer stelle gespeicherter wert, z.b. ein cookie mit einer md5 von irgendwas das beim einloggen erzeugt wird und in der db gehalten wird (so wie die session variable). damit muss ein angreifer schon entweder den selben pc benutzen, oder aber cookie+session id raten - oder network sniffen (letzteres bringt aber nichts weil du ja sinnvollerweise https benutzt... ).

Re(2): PHP Sessions

User284 — Fri, 12 Nov 2004 08:47:12 GMT

nein, letzteres wäre es überhaupt nicht ok. er meint - so vermute ich - das alle folgeseite bloß mit dem usernamen in berührung kommen und dann ihr ok geben.

nur den usernamen hat man bald... und dann sind alle folgeseiten ein offenes buch, relativ egal ob ich die variable per get oder post weiterleite...

Re(3): PHP Sessions

User284 — Fri, 12 Nov 2004 08:41:49 GMT

du meinst also folgendes:

du überprüfst am anfang username und passwort - wenn ok, dann machst du $_SESSION['username']=$_REQUEST["username"]; bzw. $_SESSION['username']=$_POST["username"]; ???
hab ich das so richtig verstanden?

ob das sicher ist? NEIN, dass ist leider nicht sicher...

besser wäre eine nachher generierte temporäre id herzunehmen und jede folgeseite diese id überprüft (externes script schreiben und per include() einbinden). das ganze über https. das wäre einigermaßen sicher.

natürlich kannst du statt der id username und passwort (als sessions angelegt) jedesmal überprüfen, würde ich aber nicht machen...

Re(2): PHP Sessions

hurt — Fri, 12 Nov 2004 00:49:29 GMT

nein, mit session-variable mein ich eine variable die mit der session immer weitergegeben wird

Re: PHP Sessions

C_K_0 — Thu, 11 Nov 2004 23:53:58 GMT

das passwort würd ich auf alle fälle verschlüsselt in der db speichern.

meinst du mit session variable die session id?
ob es sicherer ist wenn man die sesssion id als username verwendet würd ich nicht unbedingt behaupten. die frage ist ja mit was für einen usernamen meldet sich der user an? du kannst natürlich die laufende session_id immer mit dem username und passwort abfragen. obs sinn macht ist ne andere frage.

lg

Re: PHP Sessions

Schneeschaufel — Thu, 11 Nov 2004 21:34:06 GMT

Als Überprüfung sollte es eigentlich reichen und sicherheitstechnisch wär´s im Grunde auch ok. Aber bei letzterem -> *grübel*

PHP Sessions

hurt — Thu, 11 Nov 2004 19:35:34 GMT

hallo

ich habe eine frage zu PHP sessions

also ich hab eine datenbank mit user & passwort.
der user meldet sich an und die session-variable wird zum username.
die session-variable bleibt dann so lange der username bis er sich mit session_destry() ausloggt.
reicht das als ueberpruefung ob er angemeldet ist auf den folgeseiten und ist das auch sicher?

danke
michi