drupal und sessions
Eingetragen von quiptime (4972)am 08.09.2005 - 18:27 Uhr in
Drupal setzt immer eine session. Bei jedem Besucher und auch wenn sich der besucher nicht einloggt.
Sehe ich das richtig?
- Anmelden oder Registrieren um Kommentare zu schreiben
Ja, es empfiehlt sich auch
am 09.09.2005 - 07:54 Uhr
Ja, es empfiehlt sich auch Sicherheitsgründen jedoch sessions in der htaccess separat einzustellen, dazu in der htaccess unter
# Set some options.
Options -Indexes
Options +FollowSymLinks
folgendes einfügen:
php_flag session.use_trans_sid off
mfg holger
ebec.Net ! Blog www.ebec.net | STNetwork.de -- IT Blog www.stnetwork.de
Beste Grüße, Holger
---
IT-News und IT-Jobs auf w3Projekt.com
Die Sessions kannst du
am 10.09.2005 - 10:17 Uhr
Die Sessions kannst du übrigens ganz einfach nutzen, indem du direkt in die Variable $_SESSION['irgendeine_variable'] schreibst, drupal erledigt dann das ganze abspeichern (gespeichert werden Sessions nicht als Cookies sondern in die drupal-Datenbank). Ich benutze dies z. B. in meiner page.tpl.php Datei, um bestimmte (kurzfristige) Nutzereinstellungen über mehrere Seitenaufrufe hinweg beibehalten zu können.
holger: Was bewirkt die Zeile im htaccess genau? Inwiefern ist es sonst unsicher?
Siehe zum Beispiel hier
am 10.09.2005 - 15:44 Uhr
Siehe zum Beispiel hier Punkt 5 http://tut.php-q.net/sessions.html
oder auch Sessions und Sicherheit auf http://de.php.net/manual/de/ref.session.php
mfg holger
ebec.Net ! Blog www.ebec.net | STNetwork.de -- IT Blog www.stnetwork.de
Beste Grüße, Holger
---
IT-News und IT-Jobs auf w3Projekt.com
@gape
am 10.09.2005 - 19:09 Uhr
Das ist genau das, worauf im hintergrund meine frage nach den permanenten sessions hinauslaeuft. Ich will bestimmte userdaten ueber mehrere seiten hinweg verwenden.
Was die zeile in der .htaccess bewirkt oder in diesem forum hier nicht bewirkt:
Wenn ich das, was ich hier gerade schreibe als "Kommentar eintrage", sehe ich auf der folgeseite die session-id oben im browser.
Wenn ich nun diese session-id nehme kann ich mich mit ihr ein zeites mal einloggen.
Nun nehmen wir mal an, ich wuerde, waehrend der superadmin dieses forums eingeloggt ist seine session-id in erfahrung bringen. Was koennte ich dann machen?
Da geht noch was.
Grade das ist aber eine
am 11.09.2005 - 10:01 Uhr
Grade das ist aber eine offene Tür für Hacker, und genau deshalb sollte man wie in den beiden links oben beschrieben die htaccess entsprechend einstellen.
Als Administrator hast du über die Verwaltung in /admin/logs dann ja trotzdem Zugriff auf alle Aktionen bzw. einige Module wie Bannermodul oder auch Trackback bieten eigene Stats.
Die Session-IDs kannst Du dann wenn nötig als Web-Admin über die Datenbank auslesen.
mfg holger
ebec.Net ! Blog www.ebec.net | STNetwork.de -- IT Blog www.stnetwork.de
Beste Grüße, Holger
---
IT-News und IT-Jobs auf w3Projekt.com