nicht angemeldet
Moin
Wenn kein Cookie vorhanden ist, die Session-ID in die Adresszeile Packen, das ist das PHP-Standardverhalten.
Dann kann doch die Session aber übernommen werden von einem Angreifer. Nicht?
ini_set('session.use_cookies' ,1);
ini_set('session.use_only_cookies',1);
ini_set('session.use_trans_sid' ,0);
mit dem Verbot der Übergabe der SID per URL umgehe ich dieses Sicherheitsproblem doch aber. Oder?
Die Session-ID kann sich während der Session problemlos bei jedem Request ändern, session_regenerate_id() eignet sich hierfür z.B.
Siehe meinen Post. Mit "SID neu aufbaun" war genau diese Funktionalität gemeint.
Gruß Bobby
--
-> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <-
### Henry L. Mencken ###
-> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <-
## Viktor Frankl ###
ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
-> Für jedes Problem gibt es eine Lösung, die einfach, sauber und falsch ist! <-
### Henry L. Mencken ###
-> Nicht das Problem macht die Schwierigkeiten, sondern unsere Sichtweise! <-
## Viktor Frankl ###
ie:{ br:> fl:{ va:} ls:< fo:) rl:( n4:( de:> ss:) ch:? js:( mo:} sh:) zu:)
Der Martin