Toon posts:

[php] Hoe worden session variabelen overgeheveld?

Pagina: 1
Acties:
  • 181 views

dinsdag 6 januari 2009 12:50

Acties:
  • 0 Henk 'm!
  • Arcane Apex
  • Registratie: Juni 2003
  • Laatst online: 30-01 15:19

Arcane Apex

Topicstarter
Ik vroeg mij het volgende af m.b.t. beveiliging. GET variabelen worden overgeheveld via de url en zijn dus toegankelijk voor anderen. POST variabelen worden overgeheveld via de header en zijn dus ook te zien door anderen mits daar enige moeite voor gedaan wordt. COOKIES worden op de pc van de client gezet en zijn dus ook toegankelijk voor anderen.

Maar hoe zit dat met session variabelen? Is het verstandig een variabele op te slaan als session variable wanneer een externe partij geen toegang tot die variabele mag hebben?

dinsdag 6 januari 2009 12:52

Acties:
  • 0 Henk 'm!
  • CodeCaster
  • Registratie: Juni 2003
  • Niet online

CodeCaster

Can I get uhm...

The session module cannot guarantee that the information you store in a session is only viewed by the user who created the session. You need to take additional measures to actively protect the integrity of the session, depending on the value associated with it.
De sessie-ID wordt op de client bijgehouden in een cookie, en iedereen die dit cookie kan onderscheppen kan dus de sessie hijacken.

https://oneerlijkewoz.nl
Op papier is hij aan het tekenen, maar in de praktijk...

dinsdag 6 januari 2009 13:01

Acties:
  • 0 Henk 'm!
  • NMe
  • Registratie: Februari 2004
  • Laatst online: 09-09 13:58

NMe

Quia Ego Sic Dico.

Het spijt me, maar zoals CodeCaster al demonstreert had je hier zelf heel makkelijk uit kunnen komen met de manual, waar je vraag letterlijk in beantwoord staat. Het antwoord staat nota bene slechts twee kliks verwijderd van [google=php sessions]: klikken op de eerste hit en dan "sessions and security" aanklikken, het onderwerp dat je zocht. ;)

Ik zou dus graag zien dat je een volgende keer wat meer moeite doet om zelf tot een oplossing te komen. Bij gebrek aan eigen inzet doe ik dit topic dicht.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

dinsdag 6 januari 2009 13:25

Acties:
  • 0 Henk 'm!
  • RobIII
  • Registratie: December 2001
  • Niet online

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

(overleden)
Even een kleine aanvulling: een sessievariabele (een waarde die je aan de sessie hangt) is in principe enkel en alleen server-side beschikbaar; los van session-hijacking (waarmee je enkel kunt doen of je een andere sessie bent/hebt) kun je dus nog steeds niet in die variabele "kijken" van buitenaf (los van brakke code uiteraard).

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

Dit topic is gesloten.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq