Session Re-Loaden
Hallo !
Kann mir jemand sagen wie ich eine bestehende Session reloaden kann. Es geht mir darum das ich als Administrator einer Web-Page eine bestehende Session eines Benutzer laden will um mir die Werte dieser Session anzeigen zu lassen. So viel ich weiss sollte das mit session_start($session_id_des_benutzer); möglich sein! Stimmt das ? Ich könnte natürlich die Datei selbs laden sie mit session_decode initialisieren und dann das ganze ausgeben würde jedoch gerne wissen ob das nicht auch anders geht ! Danke im Voraus für jede Hilfe. |
AW: Session Re-Loaden
Zitat:
Zitat:
Du suchst die Funktion session_id() |
AW: Session Re-Loaden
Fremder Leute Sessions zu übernehmen ist böse! Auch, wenn es die eigenen Kunden sind. Evtl. dann sogar erst recht...
Ein System, in dem man Sessions "so einfach" übernehmen kann, ist schlampig entwickelt! ;-) ;-) (----ja ich weiß...) <duck und weg> |
AW: Session Re-Loaden
Zitat:
|
AW: Session Re-Loaden
Sag ich ja -->> (----ja ich weiß...)
Aber nichtsdestotrotz sollte man die Session nicht übernehmen können. Beauskunften wird man können. Aber übernehmen ist ein ganz anderer Schuh!! |
AW: Session Re-Loaden
Und für die Auskunft ist es das einfachste die Session (aus PHP-Sicht) zu übernehmen und die Daten auszulesen. Die Session aus Benutzer-Sicht zu übernehmen ist dafür in der Tat nicht notwendig.
|
AW: Session Re-Loaden
Nunja, Ansichtssache.....
Level 1: session_id(blabla) reicht Level 2: Nur über den direkten Dateizugriff Level3: Es gibt durchaus einfache Möglichkeiten, Sessions so sehr abzudichten, dass du mit den Daten in der SessionDatei gar nix anfangen kannst. |
AW: Session Re-Loaden
Wie auch immer, Deine eigenen Skripte kommen immer an Daten ran, oder werden die nur noch magisch verarbeitet? Also können die Daten auch "umgeleitet" werden. Wie aufwändig das ist (für Dich als Entwickler wohlgemerkt) hängt nur von der Menge security by obscurity, die Du eingebaut hast, ab.
Egal, die Antwort für PHP-CODER lautet mit einiger Sicherheit: Du sucht session_id(). |
AW: Session Re-Loaden
Zitat:
$_SESSION['warenkorb'] ist relativ leicht zu beauskunften Ansonsten bedenke: Jeder Browser schleppt sowas wie eine Signatur mit sich..
Und wenn, dann ist von einer Attacke auszugehen!! (Welche ja hier simuliert werden soll) Kochrezept: Eine Singleton Session Klasse, deren Referenz in $_SESSION abgelegt wird. __wakeup() benutzt obrige Liste als Key zur Dekodierung der Daten Am Rande: session_regenerate_id() gibts ja auch noch... |
AW: Session Re-Loaden
Und welche Bedeutung hat das für jemanden, der die Skripte ändern kann, Code hinzufügen kann? Darum geht es hier doch. Welche Schranken gibt es für den Entwickler? Keine relevanten.
|
Alle Zeitangaben in WEZ +2. Es ist jetzt 19:31:38 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.