Loginscript mit Session sicherer machen

A

alex130

Erfahrenes Mitglied
Hi
Ich hab eine Frage und zwar wie kann ich ein Loginscript mit Sessions sicherer machen?
Im moment überprüfe ich nur bei jedem Seitenaufruf, ob die Session gesetzt wurde und wenn nicht kommt man zum login. Aber ich weiß eben nicht, ob das sicher ist.
Thx und lg
alex
 
Nein
Es gibt viele User, bei denen sich die IP ständig ändert. Weiters senden auch viele Browser beim Request unterschiedliche Browser-Informationen. Also sind diese beiden Angaben nicht geignet um zu überprüfen ob "man noch mit dem selber User spricht".
Um auf dein Problem einzugehen wäre es ein Vorteil wenn ich wüsste was du dir unter "sicherer machen" vorstellst.
 
nosilume hat gesagt.:
Nein
Es gibt viele User, bei denen sich die IP ständig ändert. Weiters senden auch viele Browser beim Request unterschiedliche Browser-Informationen. Also sind diese beiden Angaben nicht geignet um zu überprüfen ob "man noch mit dem selber User spricht".
Um auf dein Problem einzugehen wäre es ein Vorteil wenn ich wüsste was du dir unter "sicherer machen" vorstellst.
Zum Vergrößern anklicken....

Aber die IP änderst sich doch nicht in der Zeit während man eingeloggt ist?!

Ich würde die IP bei jedem neuen Login speichern und wenn die IP unterschiedlich ist, die Session zerstören und den User rauswerfen.
Da sollte es doch keine Probleme geben, oder?
 
Ich denke auch, dass sich die IP nicht während man eingeloggt ist ändert.
Darum würde ich beim einloggen die IP und einen generierten Code eintragen und immer überprüfen, sobald eins von beiden anders ist als in der db, dann wird die Session zerstört.
Ich denke das ist die beste Lösung, oder?
Thx
 
alex130 hat gesagt.:
Ich denke auch, dass sich die IP nicht während man eingeloggt ist ändert.
Darum würde ich beim einloggen die IP und einen generierten Code eintragen und immer überprüfen, sobald eins von beiden anders ist als in der db, dann wird die Session zerstört.
Ich denke das ist die beste Lösung, oder?
Thx
Zum Vergrößern anklicken....

Also mit der IP stimme ich dir zu. Aber warum einen Code generieren? Normalerweiße hast du doch Username und Passwort in einer Session und überprüfst die bei jedem Aufruf!?

PS: Ich bin nur Anfänger und lasse mir gerne eines besseren belehren!!
 
Wenn ich einen Proxy Server benutze ändert sich die Ip (zB) jede Minute. Ich würde aber auch nicht empfehlen das Passwort in der Session zu lagern. Warum setzt du nach einem erfolgreichen Login nicht logged_in = true oder ähnliches ? Das reicht ja auch und erfordert nicht bei jedem Aufruf automatisch eine Datenbankverbindung.
 
Also das mit dem Proxy Server wusste ich gar nicht.
Die Methode mit dem logged_in = true klingt sehr gut, da man nicht immer ne Db verbindung braucht. Aber wo bzw. wie speichere ich das?
Thx
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück