immer gleiche session-ids

[patrique]

Hallo!

Arbeite mich gerade in den Umgang mit Sessions ein. Ich habe in meinem Login-Skript einfach eine Session gestartet, wenn Usr und Pwd richtig sind und die dann weitergegeben. Funktioniert ja auch alles ganz toll, bis auf die Tatsache, daß ich immer die selbe Session-ID erhalte, selbst nach einem vorhergehenden Aufruf von session_destroy() und selbst wenn ich ein neues Browserfenster benutze.

Ich dachte immer, beim Start einer neuen Session (was ja nach session_destroy() durch session_start() erledigt werden sollte), wird jedesmal eine Zufalls-ID generiert ...

 

[F.o.G.]

ist das nur auf deinem lokalen Testrechne so oder auch auf einem Server im Intenet? Es könnte nämlich an einer nicht korrekten Einstellung des Servers liegen.

Ansonsten kannst du auch eigene ID's erzeugen. Die sollten aber mindestens durch einen Zufallsgenerator gejagt werden.

Beispiel:

$tempID = md5(time());
session_id($tempID);
Diese Version funktioniert zwar, aber gleiche Zeiten erzeugen gleiche ID's. Das heißt, es ist ein Sciherheitsloch. Du musst das ganze irgendwie durcheinanderwerfen oder verschlüsseln, wie weiß ich momentan auch noch nicht, weil ich hier meine Bücher nicht habe (bin bei Mama Ferien machen).

Ciao, F.o.G.

 

[patrique]

Hi F.o.G.,

die Erklärung ist viel einfacher: ein zweites Browserfenster war wegen irgendeinem Bug noch im Speicher. Da die Session-IDs global und nicht pro Browserfenster generiert werden, verlor die Session nie Ihre Gültigkeit.

Danke trotzdem für Deinen Tipp.
MfG.