(Server) Session Manipulation - Infos?

[Airport1]

Bei domainfactory gehen leider keine "php-htaccess" , die Variablen
PHP_AUTHUSER usw. sind einfach leer (weil domainfactory php als CGI laufen laesst..)

Wenn ich alternativ nun Sessions nehme, was muss ich da ganz besonders beachten, damit man selbige von aussen nicht manipulieren kann? Insbes. wenns um Logins usw. geht.

Hat da wer n Link?

[twitch]

Session-Timeout in der php.ini runtersetzten reicht schon aus, würde ich sagen...
Ansonsten der Artikel hier:
https://www.ohne-aktive-inhalte.de/funk ... html#fa3_2

[marc75]

Session-Timeout in der php.ini runtersetzten reicht schon aus, würde ich sagen...

man kann auch ein timestamp in der Session speichern und mit einer kleinen funktion den nutzer automatisch alle x Minuten/Stunden ausloggen.

Das einzigste Problem was mir bei login via session einfällt ist, wenn die url samt sessionuri kopiert und weitergegeben wird.

[twitch]

die Session-ID braucht nicht in den URL rein, muss man nur richtig komfigurieren .

[Outman]

Bei domainfactory gehen leider keine "php-htaccess" , die Variablen
PHP_AUTHUSER usw. sind einfach leer (weil domainfactory php als CGI laufen laesst..)

Wenn ich alternativ nun Sessions nehme, was muss ich da ganz besonders beachten, damit man selbige von aussen nicht manipulieren kann? Insbes. wenns um Logins usw. geht.

Hat da wer n Link?

Hallo,

na ja ich würde an Deiner stelle ein wenig mit Java Script bzw. über Post die Seiten ausliefern damit die Sessions- Ids nicht mehr sichtbar auf den ersten blick sind.

Es ist aber im Vergleich zu Cookie Sessions sehr aufwendig, ich würde ehrlich gesagt mir nicht die Arbeit machen.

mfg. Nico

[FEAnoR]

php_flag session.use_trans_sid 0
php_flag session.use_cookies 1

Das dürfte helfen, wenn ich richtig verstanden habe, was du möchtest

[Anonymous]

php_flag session.use_trans_sid 0
php_flag session.use_cookies 1

Das dürfte helfen, wenn ich richtig verstanden habe, was du möchtest

da gibts auch noch

php_flag session.use_only_cookies 1