Willkommen in der Webstatt Zum Webstatt Blog und Stories
Al3x0r Al3x0r am 19.03.06 20:26

Ich weiß das Thema wurde schon oft diskutiert, aber ich würde trotzdem gerne mal von der webstatt.org/forum coder elite wissen, was denn nun besser/sicherer/schneller(?)/einfacher zu programmieren ist.
Ich überlege, ob ich zur Übung ein Loginscript mit mehrer Usergruppen schreibe (Admin - Moderator - User) und somit ein bisschen PHP übe. Da ich auf jedenfall was vernünftiges und sicheres programmieren möchte bin ich auch gewillt die schwerere "Sache" von beiden zu coden. Zudem habe ich kein Problem damit mal etwas länger an einem Problem rumzutüffteln, wenn dadurch das Script sicherer wird.
Was würdet ihr dabei empfehlen. Evtl. sogar Tutorials zum einlesen.

Danke für eure Antworten.
mfg Alex

netcup.de Warum gibt es hier Werbung?
sebastian am 19.03.06 20:29

Cookies würde ich nur verwenden um Logindaten etc. Sessionübergreifend zu speichern, d.h. wenn jemand beim nächsten Besuch auch noch eingeloggt sein soll.

Ansonsten sind Session Variablen in jeder Hinsicht vorzuziehen

lg

Al3x0r Al3x0r am 19.03.06 20:33

Quote
Original von sebastian
Cookies würde ich nur verwenden um Logindaten etc. Sessionübergreifend zu speichern, d.h. wenn jemand beim nächsten Besuch auch noch eingeloggt sein soll.

Ansonsten sind Session Variablen in jeder Hinsicht vorzuziehen

lg


Hat das was mit der Performance zu tun oder mit der Sicherheit oder sogar nur persönliche Vorliebe ?

ich meine gelesen zu haben , dass Sessions sicherer seien, aber wenn ich die Daten, die ich in einem Cookie speicher codiere dann ist das ja auch sicher, oder ?

edit:// Im Grund genommen ist doch , wie du schon sagtest eine Kombination von Sessions und Cookies das Beste um den User hohen Komfort ( nicht dauernd neu einloggen ) und Sicherheit zu bieten.

mfg alex

sebastian am 19.03.06 20:40

Session Variablen werden auf dem Server gespeichert, Cookies lokal auf deinem Rechner..

Session Variablen sind halt nur während einer Session verfügbar, daher auch der Name ;) Also wenn du den Browser schließt, bist du quasi ausgelogt....

Cookies kannst du eben auch über die Laufzeit einer Session verfügbar machen, wie gesagt.

Für Cookies sollte mittlerweile aus rechtlichen Gründen ein Hinweis vorhanden sein, das bitte nicht vergessen.

Aber eine Kombination aus beidem ist in Sachen Komfort oft am besten, aber hier sollte unbedingt eine Auswahl vorhanden sein, sodass die Homeuser dauerhaft eingeloggt sind, die öffentlichen User aber auch ohne manuelles ausloggen sicher unterwegs sind

sili sili am 19.03.06 20:45

Ich stimme Sebastian zu 8)

Hier etwas kleines zur Sessionsicherheit:
http://www.shredzone.de/articles/php/sessionstealing/

Al3x0r Al3x0r am 27.03.06 17:46

Bin erst gerade darauf gestoßen, dass es noch zwei Leute gab die hier gepostet haben.

Quote
Original von sili
Ich stimme Sebastian zu 8)

Hier etwas kleines zur Sessionsicherheit:
http://www.shredzone.de/articles/php/sessionstealing/


Erstmal danke für die Posts und vorallem für den Link. Ich werde mich denke ich am Wochenende mal daran machen ein Login-Script aus einer Session-Cookie Kombination zu programmieren. *malhoffendasesfunzt*
sonst weiß ich ja wo ich Hilfe bekomme. ;-)

mfg Alex

Al3x0r Al3x0r am 19.05.06 16:54

Ich grabe das Thema nochmal aus der Versenkung.

Also , ich habe nun angefangen meine Seiten insofern auf Session/Cookies umzuschreiben, dass nach dem einloggen wahlweise eine 20 Minuten gültiger Cookie gesetzt wird.
Die erste Frage: Kann ich den Cookie so setzen, dass er nur x Minuten bei Inaktivität gültig ist ?

Gut weiter gehts. Ist es gefährlich oder irgendwie abzuraten in einem Cookie den Md5 hash des Passworts zu speichern ?

mfg Alex

milahu milahu am 19.05.06 17:06

Quote
Original von Al3x0r
Kann ich den Cookie so setzen, dass er nur x Minuten bei Inaktivität gültig ist ?

Inaktivität? Versteh ich nicht...

Quote
Ist es gefährlich oder irgendwie abzuraten in einem Cookie den Md5 hash des Passworts zu speichern ?

Ja, im MD5-Hash könnte ein Virus versteckt sein..... aber ansonsten: Nö.

Al3x0r Al3x0r am 19.05.06 17:12

Quote
Original von milahu
[quote]Original von Al3x0r
Kann ich den Cookie so setzen, dass er nur x Minuten bei Inaktivität gültig ist ?

Inaktivität? Versteh ich nicht...
[/quote]

Bei genauerem nachdenken hat sich diese Frage als Schwachsinnig ergeben :D

danke für die Antwort zu anderen Frage :D

mfg Alex

Creative Commons Lizenzvertrag
Alle Inhalte des Webstatt-Archivs stehen unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Unported Lizenz.

Impressum & Kontakt