Supportnet Computer
Planet of Tech

Supportnet / Forum / Skripte(PHP,ASP,Perl...)

sicheres login





Frage

hallo ich möcht mir nen sicheres login script schreiben. und ich stell mir die frage ob es sinnvoll is nach dem überprüfen des users und passwort das passwort auch in der session zu speichern. is des überhaupt sicher was man inne session schreibt???

Antwort 1 von Nessus

Ja. relativ.
Die .htaccess ist sicherer und einfacher.

Nessus

Antwort 2 von Supermax

Session-Daten werden in der Regel in /tmp mit der UserID des Webservers gespeichert.

D.h. auf einem Server, der mehrere Webpräsenzen beherbergt, und wo safe_mode deaktiviert ist bzw. schlecht konfiguriert ist, kann jedes Programm, das unter derselben UID läuft, auf die session-Daten zugreifen.

Abhilfe dagegen würde nur schaffen, PHP nicht als Apache-Modul, sondern über den CGI-Wrapper zu starten und suExec einzusetzen.

Sensible Daten wie Paßwörter sollten daher nicht in der Session gespeichert werden, es gibt auch keinen guten Grund das zu tun. Die meisten PHP-basierten Logins funktionieren ohnehin so, daß einmalig Username und Paßwort z.B. mit einer Datenbank abgeglichen werden und dann in der Session nur z.B. die UserID oder der Username gesetzt wird.

Ich möchte kostenlos eine Frage an die Mitglieder stellen:


Ähnliche Themen:


Suche in allen vorhandenen Beiträgen: