Impressum | Werbung

Geizhals » Forum » Programmierung » PHP Sessions (27 Beiträge, 203 Mal gelesen) Top-100 | Fresh-100

^ Forum  Programmierung  #1921488 PHP Sessions hurt 11.11.2004, 20:35:34 hallo ich habe eine frage zu PHP sessions also ich hab eine datenbank mit user & passwort. der user meldet sich an und die session-variable wird zum username. die session-variable bleibt dann so lange der username bis er sich mit session_destry() ausloggt. reicht das als ueberpruefung ob er angemeldet ist auf den folgeseiten und ist das auch sicher? danke michi ^ Forum  Programmierung  #1921771 Re: PHP Sessions Schneeschaufel 11.11.2004, 22:34:06 Als Überprüfung sollte es eigentlich reichen und sicherheitstechnisch wär´s im Grunde auch ok. Aber bei letzterem -> *grübel* ^ Forum  Programmierung  #1922320 Re(2): PHP Sessions User284 12.11.2004, 09:47:12 nein, letzteres wäre es überhaupt nicht ok. er meint - so vermute ich - das alle folgeseite bloß mit dem usernamen in berührung kommen und dann ihr ok geben. nur den usernamen hat man bald... und dann sind alle folgeseiten ein offenes buch, relativ egal ob ich die variable per get oder post weiterleite... Der Mensch benötigt wenig Licht um zu sehen, jedoch viel um zu erkennen. ^ Forum  Programmierung  #1922007 Re: PHP Sessions C_K_0 12.11.2004, 00:53:58 das passwort würd ich auf alle fälle verschlüsselt in der db speichern. meinst du mit session variable die session id? ob es sicherer ist wenn man die sesssion id als username verwendet würd ich nicht unbedingt behaupten. die frage ist ja mit was für einen usernamen meldet sich der user an? du kannst natürlich die laufende session_id immer mit dem username und passwort abfragen. obs sinn macht ist ne andere frage. lg ^ Forum  Programmierung  #1922057 Re(2): PHP Sessions hurt 12.11.2004, 01:49:29 nein, mit session-variable mein ich eine variable die mit der session immer weitergegeben wird ^ Forum  Programmierung  #1922312 Re(3): PHP Sessions User284 12.11.2004, 09:41:49 du meinst also folgendes: du überprüfst am anfang username und passwort - wenn ok, dann machst du $_SESSION['username']=$_REQUEST["username"]; bzw. $_SESSION['username']=$_POST["username"]; ??? hab ich das so richtig verstanden? ob das sicher ist? NEIN, dass ist leider nicht sicher... besser wäre eine nachher generierte temporäre id herzunehmen und jede folgeseite diese id überprüft (externes script schreiben und per include() einbinden). das ganze über https. das wäre einigermaßen sicher. natürlich kannst du statt der id username und passwort (als sessions angelegt) jedesmal überprüfen, würde ich aber nicht machen... Der Mensch benötigt wenig Licht um zu sehen, jedoch viel um zu erkennen. ^ Forum  Programmierung  #1935121 Re(4): PHP Sessions hurt 16.11.2004, 18:11:45 koenntest du dir mal das anschauen und mir sagen was du von dem script haeltst bzw ob es sicher ist? http://forum.geizhals.at/t289819,1931211.html#1931211 ^ Forum  Programmierung  #1922824 Re: PHP Sessions japh 12.11.2004, 13:52:52 es ist prinzipiell okay, aber nicht sicher gegen session hijacking. ein angreifer koennte die session id herausfinden / raten und dann arbeiten waehrend der user eingeloggt ist, oder der user vergessen hat sich auszuloggen. daher zuallererst einmal last_access in die session schreiben und sessions nach gewisser zeit von inaktivitaet loeschen. gegen session hijacking hilft ein zweiter an anderer stelle gespeicherter wert, z.b. ein cookie mit einer md5 von irgendwas das beim einloggen erzeugt wird und in der db gehalten wird (so wie die session variable). damit muss ein angreifer schon entweder den selben pc benutzen, oder aber cookie+session id raten - oder network sniffen (letzteres bringt aber nichts weil du ja sinnvollerweise https benutzt... ). ^ Forum  Programmierung  #1923219 Re(2): PHP Sessions Taggy 12.11.2004, 16:35:54 Ich glaub das geht zu weit, er wollte eigentlich nur wissen ob es auf den Folgeseiten ohne weiteres möglich wäre mit Kenntnis über den Usernamen unter seinem Namen einzuloggen wenn er den Usernamen irgendiwe mitgibt. Dem letzten Thread zu Folge hat er erst mit PHP angefangen, geht's gemächlich an die Sache heran.   ^ Forum  Programmierung  #1923261 Re(3): PHP Sessions japh 12.11.2004, 16:57:36 ah, okay, danke. dann halt' ich mich mal lieber raus aus dem thread, weil bei so was tu ich mir mit dem "einfachhalten" ein bisserl schwer...   ^ Forum  Programmierung  #1929199 Re(2): PHP Sessions hurt 14.11.2004, 22:22:21 hi wieder hab ganz vergessen dass ich den beitrag noch offen hab =) ich hab jetzt eine tabelle in der datenbank wo username und password (verschluesselt mit md5()) drinnensteht. des weiteren hab ich eine seite mit frames im menu-frame gibt es ein form-field mit username und passwort. wenn man sich anmeldet wird die variable $_SESSION['username'] zum username, solange bis man sich ausloggt (session_destroy()). des weiteren existiert im menu-frame ein link ins hauptframe - wenn man ihn anklickt ohne dass man angemeldet ist kommt im hauptframe die meldung dass man hierfuer angemeldet sein muss (es wird ueberprueft ob die variable $_SESSION['username'] gesetzt ist). und auf allen seiten wo man angemeldet sein muss wird nur geprueft ob die variable $_SESSION['username'] gesetzt ist (die ueberpruefung mit passwort zum passenden user erfolgt ja eh beim einloggen - kein erfolgreiches einloggen - keine Session. wuerd das so in etwa passen oder wo muss ich da sicherheitstechnisch noch was aendern? soll ich das passwort noch mit in die ueberpruefung nehmen? aber das hilft ja auch nichts, oder? das steht ja eh auch mit md5() verschluesselt in der datenbank. danke michi ^ Forum  Programmierung  #1930651 Re(3): PHP Sessions japh 15.11.2004, 13:22:14 ganz versteh' ich es nicht, aber: >und auf allen seiten wo man angemeldet sein muss wird nur geprueft ob >die variable $_SESSION['username'] gesetzt ist ob sie gesetzt ist reicht nicht, du musst auch pruefen ob sie in der db steht, also gueltig ist (aber ich denke das meinst du eh implizit). >wuerd das so in etwa passen oder wo muss ich da sicherheitstechnisch noch >was aendern? ich denke das passt schon fuer's erste. sessions loeschen nach gewisser inaktivitaet (vielleicht 24h) sollte man allerdings schon noch machen. ^ Forum  Programmierung  #1931211 Re(4): PHP Sessions hurt 15.11.2004, 16:29:49 >und auf allen seiten wo man angemeldet sein muss wird nur geprueft ob >die variable $_SESSION['username'] gesetzt ist ob sie gesetzt ist reicht nicht, du musst auch pruefen ob sie in der db steht, also gueltig ist (aber ich denke das meinst du eh implizit). ----- nicht ganz, ich wollte wissen ob es so sicher ist (funktionieren tut es)... ich habe 2 frames, ein menu und ein hauptfenster. kurze auszuege aus der MENU.PHP: session_start(); session_register('sessionuser'); --- $securepass = md5($formpass); $result = mysql_query("SELECT user,pass FROM users WHERE user='$formuser' AND pass='$securepass'"); --- if ($row[0] == $formuser && $row[1] == $securepass)    $_SESSION['sessionuser'] = $formuser; --- dann noch das formular selbst... <form name="loginform" action="menu.php?do=checkform" method="POST"> input type="text" name="formuser" size=13 maxlength=25> input type="password" name="formpass" size=13 maxlength=25> </form> --- natuerlich gibt es auch eine abfrage ob der user registriert ist etc. die hab ich mal weggelassen. also sobald der user richtigen username und richtiges passwort eingibt wird die session-variable $_SESSION['sessionuser'] zum usernamen! im der MENU.PHP ist noch ein link zum Hauptframe ... das script im HAUPTFRAME.PHP: session_start(); --- if($_SESSION['sessionuser'] == "") {    FEHLERMELDUNG DASS MAN NICHT ANGEMELDET IST } else {    ZUGANG ERLAUBEN } das schaut mir irgendwie zu einfach aus. drum wollt ich fragen ob das die normale vorgehensweise ist um sowas zu loesen kann ich mir naemlich nicht vorstellen =) helft mir bitte =) ^ Forum  Programmierung  #1931300 Re(5): PHP Sessions japh 15.11.2004, 16:57:13 >das schaut mir irgendwie zu einfach aus. da hast du recht, das ist zu wenig. richtig: beim anmelden nach dem passwortpruefen session id erzeugen, dann die session id in die db speichern - also z.b. ein weiteres feld in den user table und die session id nach dem erzeugen dort inserten (update users set ...). bei der abfrage nach dem einloggen dann select 1 from users where session_id = '$_SESSION['sessionuser']' und abfragen ob das ein resultat bringt. nur ion php abfragen ob die session id existiert ist zu wenig - nimm an ich schick dir als session id sowas wie "bla". nach deinem code bin ich dann eingeloggt... an deinem code ist noch was broken - naemlich dass du einen userinputstring einfach in das sql stopfst. nimm an ein boeser mensch gibt beim usernamen folgenden string ein: bla-user'; delete from users; schau dir http://at2.php.net/manual/en/function.mysql-query.php an, besonders den kommentar von "krang at krang dot org dot uk" ^ Forum  Programmierung  #1931360 Re(6): PHP Sessions hurt 15.11.2004, 17:20:43 '"bei der abfrage nach dem einloggen dann select 1 from users where session_id = '$_SESSION['sessionuser']' und abfragen ob das ein resultat bringt" aber die session_id ist ja nicht gleich $_SESSION['sessionuser'] ! die variable $_SESSION['sessionuser'] ist ja nur eine variable der session, da steht der username drinnen, nicht die session_id. --- "nur ion php abfragen ob die session id existiert ist zu wenig - nimm an ich schick dir als session id sowas wie "bla". nach deinem code bin ich dann eingeloggt..." aber ich frag ja nicht ab ob eine session_id existiert oder nicht. ich frag ab ob die variable $_SESSION['sessionuser'] in der session_id gesetzt ist oder nicht, und die wird nur gesetzt wenn man sich erfolgreich angemeldet hat ! ^ Forum  Programmierung  #1931471 Re(7): PHP Sessions japh 15.11.2004, 18:07:56 okay, jetzt ist's mir klar - und es passt was du machst, auch wenn's (zu) einfach aussieht. das mit der moeglichen sql injection in deinem code solltest du dir aber anschaun. ^ Forum  Programmierung  #1931498 Re(8): PHP Sessions hurt 15.11.2004, 18:18:19 hm, und da gibts keine luecke wie man das script irgendwie umgehen kann??? sorry, aber es schaut wirklich zu einfach aus =) in der session steht dann auch nur der username drinnen und kein passwort etc. (das find ich gut), fuer den fall dass jemand die session "hacken" will oder so sieht er nur den usernamen. ----- wegen der anmeldung ... ich hab mal mittels javascript folgendes gemacht man darf nur A-Z, a-z und 0-9 verwenden in den feldern. aber das problem ist - was ist wenn man javascript irgendwie deaktiviert? kann man das abfragen? mit javascript wohl kaum, wenns deaktiviert ist =) wenn nicht muss ich die ganzen ueberpruefungen halt in PHP machen ^ Forum  Programmierung  #1931506 Re(9): PHP Sessions mIstA 15.11.2004, 18:22:28 wenn nicht muss ich die ganzen ueberpruefungen halt in PHP machen Unbedingt! - Alles was Du in Javascript machst, bietet Dir genau 0 Sicherheit! Jeder könnte sich z.B. die Seite lokal speichern, die Prüfungen rauslöschen und sich über die veränderte Seite 'anmelden'. lg  mIstA ^ Forum  Programmierung  #1931522 Re(10): PHP Sessions hurt 15.11.2004, 18:30:07 koennte er nicht weil er ja die daten fuer die connection zum mysql server nicht hat. also datenbankname, user, passwort etc. oder? ^ Forum  Programmierung  #1931545 Re(11): PHP Sessions mIstA 15.11.2004, 18:40:56 Direkt auf den mysql-Server kann er natürlich nicht zugreifen, aber er kann Deinem PHP-Script jede beliebige Zeichenkette als Usernamen oder Passwort übergeben - egal was Du via Javascript erlauben würdest oder nicht. Wenn er dabei einen String in der Art, wie sie Japh weiter oben schon beschrieben hat, schickt, dann hast Du eine 'users' Tabelle gehabt.   lg  mIstA ^ Forum  Programmierung  #1931546 Re(12): PHP Sessions hurt 15.11.2004, 18:43:01 jo, und das einfach nur wenn man javascript deaktiviert kann man das irgendwie abfragen ob aktiv od inaktiv? wenn nicht muss ich das halt alles zusaetzlich (oder nur, ohne javascript) mit PHP machen ^ Forum  Programmierung  #1931562 Re(13): PHP Sessions mIstA 15.11.2004, 18:50:24 jo, und das einfach nur wenn man javascript deaktiviert Oder wenn er einfach die Javascript-Abfragen aus Deiner HTML-Seite entfernt. kann man das irgendwie abfragen ob aktiv od inaktiv? Ja - mittels Javascript; aber natürlich nicht wirklich manipulationssicher. wenn nicht muss ich das halt alles zusaetzlich (oder nur, ohne javascript) mit PHP machen So ist es! - Du darfst niemals irgendwelchen Daten vertrauen, die Du vom Client gesendet bekommst. lg  mIstA ^ Forum  Programmierung  #1931565 Re(14): PHP Sessions hurt 15.11.2004, 18:51:45 danke und was sagst du zum MENU.PHP und HAUPTFRAME.PHP - script? ist das soweit ok und "sicher"? nur mal eine 2. meinung einholen =) ^ Forum  Programmierung  #1931640 Re(15): PHP Sessions mIstA 15.11.2004, 19:29:06 Viel kann man zu den kurzen Code-Schnippseln net wirklich sagen; arbeitest Du mit register_globals on? - Das birgt immer verschiedenste Sicherheitsrisiken: http://www.php.net/manual/en/security.globals.php lg  mIstA ^ Forum  Programmierung  #1934968 Re(16): PHP Sessions hurt 16.11.2004, 17:28:32 und "olli"? was ist deine meinung? mal eine 3. meinung einholen =) ^ Forum  Programmierung  #1934990 Re(17): PHP Sessions mIstA 16.11.2004, 17:32:54 Kleiner Tipp: Wennst auf sein Posting antwortest ist die Chance vermutlich größer, daß er Deine Frage mitkriegt.   lg  mIstA ^ Forum  Programmierung  #1935106 Re(18): PHP Sessions hurt 16.11.2004, 18:07:50 thanks =)

 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung