kostenloser Webspace werbefrei: lima-city


Problem mit Session-ID

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    computerfreak12

    computerfreak12 hat kostenlosen Webspace.

    Hi,
    ich hab einen Login mit Sessions erstellt.
    Die Session-Id wird dabei in der Datenbank gespeichert!
    Wenn sich der User nun ausloggt, wird dieser datenbankeintrag gelöscht!
    Wenn er das aber nicht tut, bleibt der datensatz erhalten.
    Dazu habe ich jetzt eine frage:
    Soll ich diesen datensatz automatisch nach ner halben stunde oder so löschen, oder gibt es eine möglichkeit, herauszufinden, ob die session-id noch benutzt wird?


    Dann hätte ich noch eine Frage:
    Ist es sicher genug, die änderungsdaten per get-parameter zu übertragen, wenn änderungen eh nur durchgeführt werden, wenn die session-id in der datenbank vorhanden ist?

    gruss computerfreak12

  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. computerfreak12 schrieb:
    Hi,
    ich hab einen Login mit Sessions erstellt.
    Die Session-Id wird dabei in der Datenbank gespeichert!
    Wenn sich der User nun ausloggt, wird dieser datenbankeintrag gelöscht!
    Wenn er das aber nicht tut, bleibt der datensatz erhalten.
    Dazu habe ich jetzt eine frage:
    Soll ich diesen datensatz automatisch nach ner halben stunde oder so löschen, oder gibt es eine möglichkeit, herauszufinden, ob die session-id noch benutzt wird?
    [...]

    Man könnte halt bei jedem Aufruf einer Seite den Eintrag (am besten eine Spalte mit einem timestamp) in der Datenbank aktualisieren.
    So kannst du mit einem Cronjob dann einfach die veralteten Einträge löschen.


    [...]
    Dann hätte ich noch eine Frage:
    Ist es sicher genug, die änderungsdaten per get-parameter zu übertragen, wenn änderungen eh nur durchgeführt werden, wenn die session-id in der datenbank vorhanden ist?

    gruss computerfreak12


    Sicher ist relativ. Aber generell sollte man sensible Daten lieber via Post verschicken, da die Manipulation dadurch (leicht) erschwert wird. Man kann z.B. nicht durch einfache HTML-Links einen Benutzer zur Änderungen von irgendwelchen Daten verleiten.
  4. Autor dieses Themas

    computerfreak12

    computerfreak12 hat kostenlosen Webspace.

    Sicher ist relativ. Aber generell sollte man sensible Daten lieber via Post verschicken, da die Manipulation dadurch (leicht) erschwert wird. Man kann z.B. nicht durch einfache HTML-Links einen Benutzer zur Änderungen von irgendwelchen Daten verleiten.

    Hi,
    dass es generell sicherer ist, weiß ich auch. Aber der 2. grund ist es, weswegen ich es lasse, und zwar werden dabei automatisch daten wie zeit und autor hinzugefügt, die der user ja so problemlos verändern könnte!

    Für das löschen der alten datensätze:
    Soll ich da einfach noch eine weitere datei erstellen, die dann durch cronjob.de aufgerufen wird, die theoretisch aber auch jeder andere user aufrufen könnte (wäre ja sogar gut), und nach wieviel inaktivität soll ich die daten überhaupt löschen?

    gruss computerfreak12
  5. Autor dieses Themas

    computerfreak12

    computerfreak12 hat kostenlosen Webspace.

    Hi,
    sorry für den Doppelpost, aber ist ja immerhin 4Tage danach.^^
    Also ich würde meine Frage doch noch mal gern beantwortet haben:

    Für das löschen der alten datensätze:
    Soll ich da einfach noch eine weitere datei erstellen, die dann durch cronjob.de aufgerufen wird, die theoretisch aber auch jeder andere user aufrufen könnte (wäre ja sogar gut), und nach wieviel inaktivität soll ich die daten überhaupt löschen?

    gruss computerfreak12
  6. Am besten sendest du bei jeder Userseitigen Aktion die Session ID zur bestätigung mit, und behälst als Grundregel in der DB wenn eine halbe std keine bestätigung dersession stattfand löschte se einfach !! ;)
  7. Autor dieses Themas

    computerfreak12

    computerfreak12 hat kostenlosen Webspace.

    Hi,
    ich bins nochmal!
    Man kann ja mit session_save_path() den pfad zu den im moment aktiven sessions auslesen!
    Ist das dann aktuell, also wenn der user die seite verlässt oder den browser schließt, ist diese session dann automatisch nicht mehr gespeichert, oder läuft das einfach die session.gc_maxlifetime lang?
    Bei gmx z.B. ist man ja bei Seite verlassen oder Browser schließen, auch automatisch ausgeloggt!
  8. Autor dieses Themas

    computerfreak12

    computerfreak12 hat kostenlosen Webspace.

    Weiß niemand, was genau session_save_path() beinhaltet?
    Würde das gerne wissen, dann wäre vielleicht vieles leichter zu programmieren.
  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!