de.comp.lang.php.* FAQ

• Über...
• Allgemein
• Installation
• Konfiguration von PHP
• PHP Interpreter
• Datentypen
• Strings
• Regexps
• Arrays
• Objekte
• Formulare
• Sicherheit
• Dateien
• Datumsprobleme
• Mail mit PHP
• Datenbanken
• DB: MySQL
• DB: Oracle
• DB: Sybase
• DB: MSSQL
• DB: phpMyAdmin
• Grafik
• PDF
• CMS
• Codeschnipsel
• Standardscripte
• Guter Code
• Fehlermeldungen
• Sessions
  • Wie realisiere ich Sessions mit PHP?
  • Was ist eine Session-ID? Was ist PHPSESSID?
  • Wie stelle ich fest, ob der Client die Cookie-Annahme verweigert?
  • Wie übergebe ich Session-IDs ohne Cookies an eine andere Seite? Was ist Fallback?
  • Wie kann ich den Namen der Session ändern, ohne in die php.ini einzugreifen?
  • Wie schütze ich Sessiondaten zusätzlich?
  • Wie groß darf die Menge an Daten sein, die ich in einer Session speichern darf?
  • Wie kann ich mir den Inhalt der Sessiondaten anzeigen lassen?
  • Wie kann ich mir den Inhalt der Cookiedaten anzeigen lassen?
  • Was geschieht im Filesystem des Servers, wenn ich Sessions benutze?
  • Wie benutze ich die Session-Funktionen unter Windows?
  • Was sind Sessions und warum sind sie nützlich?
  • Wie speichere ich Objekte in Sessions?
  • Soll die Session-ID in URL-Parametern oder Cookies gespeichert werden?
  • Warum verwendet PHP nicht die IP-Nummer des Browsers als Schutz gegen eine Übernahme der Session?
  • Wie kann ich Reloads durch den User erkennen und verhindern?
• PEAR
• FAQ Lizenz
• PHP 3

29.6. Wie schütze ich Sessiondaten zusätzlich?

Antwort von Daniel T. Gorski

Laufen auf einer Maschine mehrere virtuelle Hosts (vhosts), z.B. bei einem Hoster, muss der verantwortliche Administrator dafür Sorge tragen, dass - wenn überhaupt - der Safe-Mode nur für 100% vertrauenswürdige vhost-Nutzer ausgeschaltet werden darf ( safe_mode =Off). Dies würde - neben anderen systemnahen Eingriffen - erlauben, dass ein Script von einem anderen Vhost folgenden Code ausführen darf:

<?php
    // Inhalt von /tmp löschen
    system("rm -rf /tmp");
?>

Dies hätte in der PHP4-Standardeinstellung (aber mit safe_mode =Off) zufolge, dass alle Sessiondaten anderer Benutzer gelöscht worden wären. Gegebenfalls sollte man sich mit einer entsprechenden Anfrage an seinen Hoster wenden.

Eine andere Möglichkeit dies zu verhindern wäre es, für jeden Vhost eine andere Einstellung des session.save_path -Parameters zu wählen, wenn Sessiondaten in Files gespeichert werden.