[dsxs]

Kommt drauf an. Wenn du noch ein Cookie sitzen hast (oder die sid im GET mitgibst), wird eine neue Session mit derselben ID gestartet, ob diese nun noch in deiner Datenbank (oder standardmässig als Files) auf dem Server existiert oder nicht.
Sessioncookies sollten vom Browser automatisch gelöscht werden, sobald du ihn schliesst.
session_destroy löscht die Session sowohl bei dir in der DB wie auch im Cookie des Users. Dennoch kann er eine beliebige Session starten, indem er die sid per GET mitgibt.

Deswegen sind Sessions, welche per GET mitgegeben werden auch so gefährlich, ausser man prüft anderweitig, ob sie wirklich vom richtigen User kommen (IP, Browser Version... -> jedoch alle Methoden nicht sehr praktisch, aus bereits genannten Gründen).
Ich habe es nun so gelöst, dass per session_regenerate_id die sid jeweils neu generiert wird, so ist Session-Hyjacking praktisch unmöglich.


War das verständlich? Ich merke gerade, dass ich meine Erkärung nicht verstehen würde und hoffe, dass du es tust.

Gruss

[Chr!s]

Zitat:

Ich habe es nun so gelöst, dass per session_regenerate_id die sid jeweils neu generiert wird, so ist Session-Hyjacking praktisch unmöglich.

Wann bzw so setzt du denn session_regenerate_id dann ein?

[dsxs]

Zitat:

Zitat von Chr!s

Zitat:

Wann bzw so setzt du denn session_regenerate_id dann ein?

Das kannst du gleich nach session_start reinmachen

Zitat:

Zitat von dsxs

session_destroy löscht die Session sowohl bei dir in der DB wie auch im Cookie des Users.

Nein, der Cookie bleibt unberührt. Das sollte bei ordentlicher serverseitiger Verwaltung aber kein Problem darstellen.

Zitat:

Zitat von dsxs

Ich habe es nun so gelöst, dass per session_regenerate_id die sid jeweils neu generiert wird, so ist Session-Hyjacking praktisch unmöglich.

Zu dem Thema ein recht interessanter Artikel:
http://shiflett.org/articles/security-corner-feb2004

[Chr!s]

Zitat:

Das kannst du gleich nach session_start reinmachen

Ja, danke. Ich habs mehr oder weniger nach session_start() gemacht. Da ich die Session ja Datenbankbasierend speichere hab ich einen kleinen Workaround gemacht, um die alte SessionID zu löschen:

PHP-Code:

<?php
                session_start();
                $this -> oSessionHandler -> regenerateSessionID();
?>

PHP-Code:

<?php
        /**
         * Regenrate the session id for security reasons
         *
         * @return boolean
         */
        function regenerateSessionID() {
                $sOldSessionID = session_id();

                // At first we have to destroy the old session
                if($this -> destroy($sOldSessionID)) {
                        // If succeeded, we regenerate the sessionID
                        return session_regenerate_id();
                }

                return false;
        }
?>

Falls das jemand braucht, oder so..