TobiasBohn
Neues Mitglied
Hallo Communty,
ich wollte euch mal fragen, ob es eine bessere/sichere Methode existiert als mit PHP Session?
ich wollte euch mal fragen, ob es eine bessere/sichere Methode existiert als mit PHP Session?
Bessere möglichkeit als session?
- Ersteller TobiasBohn
- Erstellt am
Werbung:
![]()
Werbung:
![]()
md5() ist nur keine Verschlüsselung und lässt sich schwer zurückwandeln.
Suhosin bietet es transparent an Session-Daten zu verschlüsseln: Hardened-PHP Project - PHP Security - Feature List
Für eine eigene Implementation würde sich ein eigener Session_Save_Handler eignen (Zend_Session_SaveHandler_DbTable ist natürlich perfekt für sowas).
Suhosin bietet es transparent an Session-Daten zu verschlüsseln: Hardened-PHP Project - PHP Security - Feature List
Für eine eigene Implementation würde sich ein eigener Session_Save_Handler eignen (Zend_Session_SaveHandler_DbTable ist natürlich perfekt für sowas).
Werbung:
![]()
mermshaus
Senior HTML'ler
Die Frage ist nicht ganz einfach zu beantworten, da Sessions im Grunde völlig unproblematisch sind. Nur lassen sich natürlich potentiell auch mit Session-Daten „allgemeine“ Sicherheitslücken wie SQL Injections oder XSS oder irgendeine andere Art fehlerhafter Programmierung ausnutzen.
Es ist aber nie schlecht, einen eigenen session_save_path zu definieren, da ansonsten theoretisch verschiedene auf einem Server gehostete Webangebote ein Session-Verzeichnis teilen, was in mehr oder weniger stark realistischen Fällen zu Sicherheitsproblemen führen kann.
- PHP: session_save_path - Manual
Ich würde außerdem auf das Übertragen der Session-ID im URL verzichten und ausschließlich auf Cookies setzen.
Man könnte noch weitere Themen ansprechen, aber da kommt man so langsam in den Bereich allgemeiner Sicherheitsüberlegungen (zum Beispiel notwendige Passworteingabe bei wichtigen Operationen, auch wenn Login besteht).
Es ist aber nie schlecht, einen eigenen session_save_path zu definieren, da ansonsten theoretisch verschiedene auf einem Server gehostete Webangebote ein Session-Verzeichnis teilen, was in mehr oder weniger stark realistischen Fällen zu Sicherheitsproblemen führen kann.
- PHP: session_save_path - Manual
Ich würde außerdem auf das Übertragen der Session-ID im URL verzichten und ausschließlich auf Cookies setzen.
Man könnte noch weitere Themen ansprechen, aber da kommt man so langsam in den Bereich allgemeiner Sicherheitsüberlegungen (zum Beispiel notwendige Passworteingabe bei wichtigen Operationen, auch wenn Login besteht).
TobiasBohn
Neues Mitglied
vielen dank für eure Antworten. Ich werde mich mal mit session_save_path beschäftigen.
PS: Die Inhalte verschlüssel ich nicht mit md5, sondern nur das Passwort
PS: Die Inhalte verschlüssel ich nicht mit md5, sondern nur das Passwort