BlackBoard (http://www.black-board.net/index.php)
- Design, Programmierung & Entwicklung (http://www.black-board.net/board.php?boardid=55)
-- Programmieren (http://www.black-board.net/board.php?boardid=4)
--- PHP sichere Sessions (http://www.black-board.net/thread.php?threadid=19168)

Geschrieben von Zmaster am 16.11.2004 um 20:27:

  sichere Sessions

Hallo,

hab mal ne Frage und hoffe, ihr könnt mir ein bisschen helfen.

Ich möchte mit PHP wirklich sichere Sessions starten!
Was kann ich alles machen:
  1. Ich habe eine SSL Verbindung
  2. Ich kann meine php.ini Datei anpassen
  3. Ich habe allgemein Zugriff auf den kompletten Server und kein anderer


Derzeit habe ich versucht in php.ini die Sessions über Cookies laufen zu lassen (hab ich so gelesen, dass es besser ist).
Dafür habe ich folgende Zeile stehen: session.use_only_cookies = 1
Leider schreibt er immer noch die Session Dateien in den /tmp Ordner.
Ist session.auto_start zu empfehlen?

In jeder relevanten Datei habe ich folgenden Code stehen:
php: 
1:
2:
3:
4:
5:
6:

<?
session_start();
if(!session_is_registered("user_id")) {
    header("Location: login.php?expl=Session%20ist%20abgelaufen");
}
?>


Weiterhin habe ich die session.cookie_lifetime auf den Wert 600 gesetzt - damit soll die Session in 10 minuten ungültig sein, wenn keine weitere Seite aufgerufen wurde. Habe ich diese Zeile richtig interpretiert?

Was fällt euch noch ein?

Gruß
zmaster


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH