Hallo zusammen,

nur zur Sicherheit: Die Länge der Session_Id ist immer 32 Zeichen, oder?

Grüße - spacegaier

Google ist dein Freund. Was ist eine Session-ID? Wo werden Sessiondaten gespeichert? - develnet.org

Von welcher „Session_Id“ sprichst du?

__________________
Markus Wulftange

Also, ich hole mal kurz ein bissel weiter aus.

Ich bin ja gerade dabei mein Login-Script zu verbessern (siehe anderer Thread in diesem Forum). Das anz läuft über Sessions. Also User gibt Passwort und Nickname, das Ganze wird überpruft und wenn er registriert ist wird eine Session gestartet. Jede Session hat ja eine Session-ID, die ich mir auch mit der Funktion session_id() ausgeben lassen kann.

So nun will ich das ganze Session-System bei mir noch sicherer machen. Hierzu schreibe ich die Session-ID in eine DB. Dazu müsste ich halt wissen wie lang diese ID sein kann, damit ich weiß, wie ich die Spalte deklarieren muss. Momentan ist sie vom Type VARCHAR(30). Laut dem Link von code_junkie kann sie aber bis zu 4000 Zeichen lang sein -> soll ich dann TEXT als Type nehmen?

Und um dann diese erhöhte Sicherheit zu bekommen, muss ich doch dann in jedem Script, die Session-ID der Session mit jener aus der DB vergleichen, oder?

Die PHP-Sitzungs-ID arbeitet bei der Standardeinstellung mit dem MD5-Algorithmus, der einen 32-stelligen Hexadezimalwert zurückgibt. Es kann aber auch mit dem SHA-1-Algorithmus oder einem anderen Hash-Algorithmus gearbeitet werden (siehe „session.hash_function“-Konfigurationsoption). Der erzeugte Hash-Wert kann zusätzlich noch mit einer anderen Anzahl der Bits pro Zeichen dargestellt werden (siehe „session.hash_bits_per_character“-Konfigurationsoption). Die Standardeinstellung sind vier Bits pro Zeichen (Hexadezimalzeichen: 0-9, a-f).

__________________
Markus Wulftange

Okay, dann kann ich die Spalte ja auch VARCHAR(32) stehen lassen, da ich nicht vorhabe an den Grundeinstellungen diesbezüglich etwas zu ändern.

Nochmal zum Thema Sicherheit: Um die Sessions sicherer zu machen, sollte ich doch bei jeder Authorisierung der User über die Sessions, die aktuelle gesendete Sersion-ID mit der vergleichen, die ich beim Loginvorgang in die DB geschreiben habe, oder?

Ich wüsste nicht, was das wirklich bringen sollte ... man kann es auch irgendwann übertreiben.

__________________
“My software never has bugs. It just develops random features ...”

» DevShack - die Website des freien Webentwicklers Boris Bojic

Du kannst sogar nur CHAR(32) verwenden und dir das eine Byte zur Speicherung der tatsächlichen Länge sparen, da ja immer die vollen 32 Bit benötigt werden.

__________________
Markus Wulftange

Das mit dem Speichern der ID habe ich mal irgendwo gelesen. Wenn man es nicht macht wäre es ja rein theoretisch möglich die Session-ID einer anderen Person zu erraten und sich somit in eine fremde Session einzuloggen, oder?

Wie soll denn die DB zwischen einer gestohlenen und einer nicht gestohlener, bzw. erratender Session ID unterscheiden?

__________________
CSS-FAQ beantwortet die meisten Fragen | Retro coding gegen Divitis | Code validieren & posten für Hilfe