[php] Session, Post-form, no-cookie

[Voor 32% gewijzigd door GlowMouse op 19-08-2010 13:44]

[Voor 4% gewijzigd door Manuel op 19-08-2010 13:50. Reden: * typo]

Manuel schreef op donderdag 19 augustus 2010 @ 13:47:
1. Gebruik geen PHP_SELF, vatbaar voor XSS
2. Je constant SID wordt pas geset indien de sessionID incorrect is of als er geen cookie is geset met het sessionID. Meer informatie: PHP: Predefined Constants - Manual

Verder vraag ik mij ook af waarom je het SID wil meesturen aangezien dit normaliter via cookies gebeurd.

[Voor 87% gewijzigd door RobIII op 19-08-2010 13:52]

[Voor 97% gewijzigd door Currahee op 19-08-2010 13:53]

ajakkes schreef op donderdag 19 augustus 2010 @ 13:50:
Omdat cookies uitstaan

RobIII schreef op donderdag 19 augustus 2010 @ 13:47:
Wat is SID
Bedoel je niet $SID ? En waarmee is SID gevuld?

[...]

^^ Wat hij zegt. Een sessie_id wil je helemaal niet in je url hebben.

CRiMiNaL schreef op donderdag 19 augustus 2010 @ 13:53:
Netjes is anders, dat ben ik met je eens, maar vanuit veiligheid opzicht maakt het niet zoveel uit of je sessie_id nu in de request url staat (geen gebruik van cookies) of in de request headers (wel gebruik van cookies).

CRiMiNaL schreef op donderdag 19 augustus 2010 @ 13:53:
TS geef in topic titel aan dat het hier gaat om geen cookies, dan zal je toch op een manier de identifier van je huidige sessie moeten controleren.

[Voor 60% gewijzigd door RobIII op 19-08-2010 13:57]

ajakkes schreef op donderdag 19 augustus 2010 @ 13:50:
Omdat cookies uitstaan veranderd de session_id() bij elke nieuwe pageload. Deze wordt namelijk opgeslagen in een cookie.
Om die reden zal je de SID moeten meesturen met de url, heb ik begrepen.
Het meesturen van de SID lukt. Zoals je kan zien aan de url van de volgende pagina

index.php?page=mynewpage&PHPSESSID=gqm0t9i414vpgqkvl13cljpc12

achter PHPSESSID staat dezelfde code als de session_id() waarde op de vorige pagina.

Als ik de session_id() echter opvraag in de pagina zelf is hij veranderd:

print session_id(); geeft e0efup52j0gsto5o91n8gn78o6

Ik wil dus de session in stand houden icm uitgeschakelde cookies en een post formulier.

1
2
3
4
5

session_start();

if (!isset($_COOKIE[session_name()] && isset($_GET[session_name()])) {
  session_id($_GET[session_name()]);
}

ajakkes schreef op donderdag 19 augustus 2010 @ 14:17:
En blijkbaar moet ik de [PHP_SELF] ook nog nakijken. Kan ik natuurlijk makkelijk vervangen in de echte url.

[Voor 23% gewijzigd door Avalaxy op 19-08-2010 14:25]

Avalaxy schreef op donderdag 19 augustus 2010 @ 14:24:
Is het niet handiger om gewoon zelf een stel functies te schrijven voor session_set_save_handler() en daarmee de sessions op te slaan in een database waarna je ze op een andere pagina weer ophaalt? Lijkt me heel wat veiliger dan ze passen in de URL en ophalen met GET. Bijkomend voordeel is dat je sessions niet via het File System opgevraagd kunnen worden in het geval van shared hosting.

[...]


Absolute URL is niet handig met het oog op portability.

Non-relative URLs are assumed to point to external sites and hence don't append the SID, as it would be a security risk to leak the SID to a different server.

Om die reden heb ik het vermoeden dat het mogelijk is post data te verzenden zonder een submit knop te gebruiken.

ajakkes schreef op donderdag 19 augustus 2010 @ 15:38:
Als post data verzonden kan worden zonder een submit knop moet het toch ook mogelijk zijn om de session_id() te verzenden zonder submit via post.

Indeed omslachtig. (not gonna happen).

ajakkes schreef op donderdag 19 augustus 2010 @ 15:38:
Als post data verzonden kan worden zonder een submit knop moet het toch ook mogelijk zijn om de session_id() te verzenden zonder submit via post.

Indeed omslachtig. (not gonna happen).

CodeCaster schreef op donderdag 19 augustus 2010 @ 15:41:
[...]

Ja hoor, je kunt met javascript alle links zodanig bewerken dat ze je sessie-id en een link-id meeposten bij iedere klik. Wat boeit het als iemand zijn sessie_id aanpast? Dan krijgt 'ie een nieuwe sessie, en dan? Geen probleem toch? Je moet het alleen beveiligen tegen overname van sessie door een andere gebruiker, maar dat moet je sowieso.

[Voor 11% gewijzigd door HuHu op 19-08-2010 15:51]

HuHu schreef op donderdag 19 augustus 2010 @ 15:50:

Dat kun je beter server-side doen en niet met JavaScript.

ajakkes schreef op donderdag 19 augustus 2010 @ 15:55:
@CodeCaster
Where did it go wrong?

1. Met sessie's werken
2. De site toegankelijk maken voor gebruikers zonder cookies
3. De site url's schoon houden

Al met al doelstellingen die de toegankelijkheid verhogen.
Ik begrijp ook wel dat eisen dat cookies geaccepteerd worden het hele verhaal een stuk makkelijker maakt.

ajakkes schreef op donderdag 19 augustus 2010 @ 16:02:
Ik weet niet hoe je een variabele in de post krijgt zonder op submit te drukken. Zonder formulieren te gebruiken.
Als het al mogelijk is.

[Voor 18% gewijzigd door CodeCaster op 19-08-2010 16:07]

ajakkes schreef op donderdag 19 augustus 2010 @ 16:28:
@CodeCaster

Er worden allerlei discussies gevoerd maar mijn begin vraag wordt over het hoofd gezien.

1. Is het mogelijk om de sessie vast te houden als de client geen cookies accepteerd en er een post formulier verzonden moet worden? Ja, maar de SID in de url is niet zo mooi.

2. Is het mogelijk om de SID niet in de URL op te slaan als er geen cookies geaccepteerd worden? Ja, dat is een optie als er een post formulier is.

3. Is het mogelijk om zonder cookies en post formulier en geen SID in de url de sessie vast te houden? Ja, maar dat doe je gewoon niet.

Of het legitiem is om een sessie te gebruiken is toch helemaal niet belangrijk?
Of ik een site wil bouwen met "no-cookie" support is toch aan mij en niet aan jou?
Als jij vind dat dit te lastig is om toe te passen en het daarom niet doet (en niet over na wil denken) hoor je mij daar niet over klagen.

Als ik vindt dat het niet te doen is om "no-cookie" te supporten zal ik deze optie laten vervallen. Maar daarom heb ik nog steeds al het recht om te vragen of iemand hier een oplossing voor weet.