O'Reilly logo

PHP 5 Kochbuch, Third Edition by Stephan Schmidt, Ulrich Speidel, Matthias Brusdeylins, Carsten Lucke, Adam Trachtenberg, David Sklar

Stay ahead with the world's most comprehensive technology and business learning platform.

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, tutorials, and more.

Start Free Trial

No credit card required

17.13 Session-Fixierung verhindern

Problem

Sie müssen sicherstellen, dass sich kein Dritter, ein Angreifer beispielsweise, der die Session des Benutzers kapern will, die Session-ID eines Benutzers verschaffen kann.

Lösung

Regenerieren Sie die Session-ID mit session_regenerate_id( ), wenn es eine Änderung der Berechtigungen des Benutzers gibt, beispielsweise nachdem er sich eingeloggt hat:

<?php
session_regenerate_id();
$_SESSION['logged_in'] = true;
?>

Diskussion

Mit Sessions können Sie Variablen erstellen, die über mehrere Anfragen erhalten bleiben. Damit Sessions funktionieren, muss jede Anfrage eines Benutzers eine Session-ID einschließen, die die Session eindeutig identifiziert.

Standardmäßig akzeptiert PHP Session-IDs, die über ein Cookie oder in ...

With Safari, you learn the way you learn best. Get unlimited access to videos, live online training, learning paths, books, interactive tutorials, and more.

Start Free Trial

No credit card required