SESSION im Internet Explorer geht nicht!

[Mephiston]

Ja aber wozu wird die denn genau gebraucht? Für die Übergabe von Variablen brauch man die dann wohl nicht oder?
Gruß
Thorsten

 

[Oliver Gringel]

Die Session-ID wird gebraucht, um eine Session einem Client zuzuordnen. Irgendwoher muss der Server ja wissen, welche Session zu welchem Client gehört.

 

[Mephiston]

Also wenn man ein Skript schreibt, auf das mehrere User gleichzeitig zugreifen können sollen und das mit Sessions arbeitet dann sollte man die SID mitübertragen in der URL sehe ich das richtig?
Gruß
Thorsten

 

[Oliver Gringel]

Nein, die Session-ID sollte man niemals in der URL übergeben. Fast alle Provider haben das auch deaktiviert.

 

[Sven Mintel]

Nein, die Session-ID sollte man niemals in der URL übergeben. Fast alle Provider haben das auch deaktiviert.

Erstaunlich, wie tutorials.de mit diesem Problem zurechtkommt.... hier wird die Session-ID auch per URL übermittelt(wenn man Cookies aus hat)... von negativen Auswirkungen hab ich bisher nix gehört.

Es steht doch ausser Frage, dass das nicht der optimale Weg ist, um eine Session aufrecht zu erhalten.... bloss irgendwie muss man es halt machen, wenn man die Session braucht.

Um das anzustellen verwende [phpf]ini_set[/phpf] mit session.use_trans_sid

 

[Oliver Gringel]

Erstaunlich, wie tutorials.de mit diesem Problem zurechtkommt.... hier wird die Session-ID auch per URL übermittelt(wenn man Cookies aus hat)... von negativen Auswirkungen hab ich bisher nix gehört.

Das wird wohl daran liegen, dass es
1. relativ unwahrscheinlich ist, dass jemand an die Session-ID kommt. Der einzig denkbare Fall wäre, dass ein User z.B. in einem Internetcafé auf Tutorials.de surft, und dabei Cookies ausgeschaltet hat. Der nächste, der sich an diesen PC setzt, geht in die Browser-History, und schon ist er bei Tutorials.de angemeldet.

2. niemanden was bringt, wenn er als anderer User bei Tutorials.de angemeldet ist. Im schlimmsten Fall macht er ein paar böse Posts, oder ändert Passwort und eMail-Adresse des Users, so dass der Account futsch ist.

Wenn er aber an den Zugang eines Moderators oder gar Administrators kommt, schaut das ganze schon anders aus. Aber ich denke mal, dass keiner der Moderatoren / Administratoren hier so blöd ist, und sich in einem Intranetcafé (oder anderem öffentlich zugänglichen Computer) auf Tutorials.de anmeldet, ohne sich wieder abzumelden.

Es hängt also grundsätzlich davon ab, wie schlimm es ist, wenn jemand anderes an einen Useraccount kommt, und wie sehr man auf die Sorgfalt der entsprechenden User vertrauen kann.

Deshalb im Zweifelsfall immer use_trans_sid abstellen.
Da es ja keinen Grund gibt, warum man Cookies deaktivieren sollte, sollte das für die User ja kein Problem darstellen.

 

[Mephiston]

Also mal sehen ob ich das jetzt richtig verstanden habe:

wenn ich bei mir ini_set(session.use_trans_sid,"1") mache dann wird die SID in der URL übertragen? Muss ich da sonst noch was machen?
Gruß
Thorsten

 

[Sven Mintel]

Theoretisch ja... praktisch gibts einen umständlicheren Weg, der das Sicherheitsproblem jedoch enorm reduziert.

Verwende in Links und Formularen die Konstante SID ...auf diese Weise wird die Session-ID nur per GET übermittelt, wenn es über Cookies nicht geht.

 

[darko m.]

emm....

Kann ich den Benutzernamen auch per URL weiterleiten aber das der Benutzername auf allen seiten verfügbar ist?
Wenn ja, wie?

 

[Oliver Gringel]

Das kannst du schon. Einfach den Benutzernamen immer an die URL hängen. Aber um sich diese Arbeit zu sparen, gibt es Sessions. Dann musst du dich nicht mehr um die Weitergabe kümmern.