hi,

sessionmechanismus ?????

Wir reden hier über den _Mechanismus_, über den PHP _Sessions_ bereits implementiert hat, und seine Standard-Funktionsweisen.

Worüber redest du?
(Ja, ich weiß - über das Konzept einer "Session" allgemein. Nur wozu? Danach gefragt war eigentlich nicht.)

neu angelegt ist keine wiedererkennung! daher gibt auch keine datei!

wiedererkennung setzt eine solche datei nicht voraus.

Nein, vom allgemeinen Konzept der "Session" her nicht.

Von der Standardumsetzung in PHP, die die Session-Daten aber in Session-Dateien ablegt, die über die Session-ID identifiziert werden, schon.

sollen sessiondaten wiederhergestellt werden, hat dies nichts mit wiedererkennung zu tun.

Ach nein?
Wie stellst du denn etwas wieder her, das du nicht identifizieren kannst?

der interpreter versucht aus einer gleichnamigen datei variablen wiederherzustellen und bei schluß des scriptes in eine solche zu schreiben. gibts diese datei nicht, wird diese erzeugt. egal wann.

OK, dann besteht über die Funktion von einer Standard-Session in PHP ja Einigkeit.

Nur, was willst du uns dann eigentlich mitteilen?

Gefragt war, welche Gefahr eine manipulierte Session-ID darstellen kann - und in welchem Umfeld war auch genau definiert, nämlich PHP.

Nun, wenn PHP automatisch versucht, auf eine zur ID passende Datei zuzugreifen oder sie gar anzulegen, dann könnte eine manipulierte Session-ID, die beispielsweise '/../irgendwas' enthält, potentiell gefährlich sein - eventueller Wechsel aus dem definierten Temp-Verzeichnis für Session-Dateien heraus, in übergeordnete, etc.

Dass PHP dies aber zu unterbinden versucht, in dem es die vom Client übergeben Session-ID auf "unerlaubte" Zeichen prüft, haben wir ebenfalls bereits festgestellt.

gruß,
wahsaga