Session Re-Loaden

[PHP-CODER]

Hallo !

Kann mir jemand sagen wie ich eine bestehende Session reloaden kann.

Es geht mir darum das ich als Administrator einer Web-Page eine bestehende Session eines Benutzer laden will um mir die Werte dieser Session anzeigen zu lassen.

So viel ich weiss sollte das mit session_start($session_id_des_benutzer); möglich sein!
Stimmt das ?

Ich könnte natürlich die Datei selbs laden sie mit session_decode initialisieren und dann das ganze ausgeben würde jedoch gerne wissen ob das nicht auch anders geht !

Danke im Voraus für jede Hilfe.

[defabricator]

Zitat:

Zitat von PHP-CODER

So viel ich weiss sollte das mit session_start($session_id_des_benutzer); möglich sein!

Wenn Du so eine Vermutung hast, dass schau doch einfach mal ins Online-Handbuch, http://de2.php.net/session_start

Zitat:

bool session_start ( void )

Nimmt also keine Parameter an, kann also nicht die Lösung sein.
Du suchst die Funktion session_id()

Fremder Leute Sessions zu übernehmen ist böse! Auch, wenn es die eigenen Kunden sind. Evtl. dann sogar erst recht...
Ein System, in dem man Sessions "so einfach" übernehmen kann, ist schlampig entwickelt!
;-) ;-)
(----ja ich weiß...)
<duck und weg>

[defabricator]

Zitat:

Zitat von rambi

Ein System, in dem man Sessions "so einfach" übernehmen kann, ist schlampig entwickelt!

Nicht wenn man selbst "der Anbieter" ist.

[PHP-CODER]

Ich schliesse mich hier absolut der Meinung von defabricator an!

Rambi aus meiner Sicht hast du absulut keine Ahnung über was du eigentlich da redest !
Deine ganze Antworten bauen auf Vorurteile gegenüber PHP sowie total falsche Annahmen.
Zu diesen unvorteilhaften Voraussetzungen gesellt sich noch ein fehlendes Wissen und Können in der PHP Programmierung deinerseits.

Was du in dem Unterforum "PHP für Fortgeschrittenen" verloren hast ist mir echt schleierhaft. Dein Wissen und Können in der PHP programmierung wird es auf jeden fall nicht sein.

Zur Information:
Sessions sind nichts anderes als Serverseitige Cookies die den Vorteil bringen das man wenig bis praktisch gar nichts überprüfen muss was für Werte die Session Variabeln haben.

Grund dafür ist die Tatsache das der Entwickler selbst, also der besitzer des Server welcher die Daten lagert, entscheidet wie die Variabeln in der Session heissen sollen und welche Werte sie schlussendlich annehmen dürfen da alles das auf dem Server abgelegt wird und nicht wie bei einem normallen Cookie auf dem PC des Internetsurfers.

Zur widerholung noch einmal für dich !

Ich als Server Administrator entscheide wie die Variabeln in der aktuellen Session heissen sollen und welche werte sie Annehmen dürfen und sonst kein Anderer.

Aus diesem Grund kann ich diese Daten auch selbst auslesen, löschen oder modifizieren.

Stell dir Vor ich kann ebenfalls den Server vom Netz nehmen oder alles auf dem Server löschen. Wenn das für dich nicht noch mehr BÖSE ist dann weiss ich echt nicht !

Sessions sind Serverseitige Cookies die der entwickler der Seite anlegt um sich kontroll arbeit zu sparen was für Werte der Internet benutzer an die Seite sendet.

Über diese Serverseitige Cookies "Session" hat der entwickler der Seite die Volle Kontrolle.
Er entscheidet wann sie Angelegt werden, was für Namen sie haben, wie lange sie Leben und wann sie gelöscht werden.

Der Internet Benutzer einer Seite hat absolut kein zugriff auf diese Server seitigen
Cookies noch kann er sie beinflussen.

Sag ich ja -->> (----ja ich weiß...)
Aber nichtsdestotrotz sollte man die Session nicht übernehmen können. Beauskunften wird man können. Aber übernehmen ist ein ganz anderer Schuh!!

[defabricator]

Und für die Auskunft ist es das einfachste die Session (aus PHP-Sicht) zu übernehmen und die Daten auszulesen. Die Session aus Benutzer-Sicht zu übernehmen ist dafür in der Tat nicht notwendig.

Nunja, Ansichtssache.....
Level 1:
session_id(blabla) reicht

Level 2:
Nur über den direkten Dateizugriff

Level3:
Es gibt durchaus einfache Möglichkeiten, Sessions so sehr abzudichten, dass du mit den Daten in der SessionDatei gar nix anfangen kannst.

[defabricator]

Wie auch immer, Deine eigenen Skripte kommen immer an Daten ran, oder werden die nur noch magisch verarbeitet? Also können die Daten auch "umgeleitet" werden. Wie aufwändig das ist (für Dich als Entwickler wohlgemerkt) hängt nur von der Menge security by obscurity, die Du eingebaut hast, ab.

Egal, die Antwort für PHP-CODER lautet mit einiger Sicherheit: Du sucht session_id().

Zitat:

security by obscurity

Grotten-leider-schlecht, muß ich dir in Grenzen zustimmen...(obwohl ich nicht will)

$_SESSION['warenkorb'] ist relativ leicht zu beauskunften

Ansonsten bedenke:
Jeder Browser schleppt sowas wie eine Signatur mit sich..

• Wer bin ich
• Welche Mimetypen mag ich und wie gerne
• Welche Charsets mag ich und wie gerne
• Gesetzte Cookies
• Per output_add_rewrite_var() angehangene IDs

Innerhalb des Gültigkeitsbereiches einer Session wird er diese nicht ändern.
Und wenn, dann ist von einer Attacke auszugehen!! (Welche ja hier simuliert werden soll)

Kochrezept:
Eine Singleton Session Klasse, deren Referenz in $_SESSION abgelegt wird.
__wakeup() benutzt obrige Liste als Key zur Dekodierung der Daten


Am Rande:
session_regenerate_id() gibts ja auch noch...