[PHP] Session-Management - Sicherheit

**fkerber**

Hi!

Es geht darum, sicherzustellen, dass keiner unrechtmäßiger Weise sich Zugriff auf Funktionen besorgen kann, die er nicht erreichen soll. (Die Sachen sind nur im geschützten LogIn-Bereich verfügbar).

Bislang sieht es so aus (das funktioniert auch - erscheint mir aber u.U. zu umständlich):
Es gibt eine zentrale index.php - in der steht ein "<? session_start(); ?>" am Anfang drin und bei erfolgreichem LogIn wird in $_SESSION passendes eingetragen. Alle Inhaltsdateien werden nur in diese index included - auf ein Aufruf der Datei test.php erfolgt über ?site=test
Um jetzt die Datei test.php vor bösen Menschen zu schützen sieht sie so aus;

markieren

Code:

			if (!(isset($_SESSION['userID']))) 

{

   echo "<meta http-equiv='refresh' content='1; URL=./'>";

   echo "Login erforderlich</div>

";

   echo "Sollten Sie nicht weitergeleitet werden, klicken Sie [url='./']hier[/url]!";

}

else {

/* EIGENTLICHER INHALT */

}

Da das in allen Dateien drinsteht, sind Änderungen mehr als lästig...

Jetzt kam die Idee auf, man könne das ja vllt. alles in einen Funktionsaufruf auslagern.
Wunschvorstellung wäre, das die test.php dann nur noch so aussieht:

markieren

Code:

			check();

/* EIGENTLICHER INHALT */

Die Frage wäre jetzt, schafft man es, eine solche Funktion check() zu schreiben die in 100% (also wirklich 100%) aller denkbaren Fälle sicherstellt, dass niemand den eigentlichen Inhalt zu sehen bekommt, der ihn nicht sehen sollte. Durch den Verlust der if-else-Struktur würde ich u.U. befürchten, dass jemand den Reload abbrechen könnte oder ähnliches.

Grüße, Frederic

**omata**

Du kannst die weitere Verarbeitung durch PHP mit exit bzw. die beenden.

Somit kann deine Funktion so aussehen...

markieren

Code:

			function check() {

  if (!(isset($_SESSION['userID']))) {

   echo "<meta http-equiv='refresh' content='1; URL=./'>";

   echo "<div>Login erforderlich</div>

";

   echo "Sollten Sie nicht weitergeleitet werden, klicken Sie [url='./']hier[/url]!";

   exit;

  }  

}

Aber mal was grundlegendes: PHP- und HTML-Code zu vermischen ist nicht gerade schön.

**fkerber**

Hi!

Und das stellt dann sicher, dass der redirect durchgeführt wird, aber die Seite nicht weiter angezeigt wird?

Zitat von omata:

Aber mal was grundlegendes: PHP- und HTML-Code zu vermischen ist nicht gerade schön.

Wie würdest du / würde man es denn hier anders lösen?

Grüße, Frederic

**himitsu**

ein kleines Templatesystem, die HTML-Seiten per include reinladen, oder einen redirect zur HTML-Fehler-Seite.

**fkerber**

Hi!

Naja, ein redirect wird direkt ja nicht gehen, da der Header schon weg ist und lohnt sich für den Dreizeiler jetzt wirklich ein Include einer HTML-Datei?

Was ist an der aktuellen Machart schlecht?

Grüße, Frederic

**DeddyH**

Der Header ist doch erst "weg", wenn die erste Ausgabe erfolgt ist.

**fkerber**

Ja, aber die Datei ist ja in der index.php inkludiert.
Und da ist ja schon oben ein Banner z.B. raus oder das Menü o.ä.

Grüße, Frederic

**DeddyH**

Aber doch nicht, wenn Du gleich als erstes die Prüfung vornimmst.

**fkerber**

Wie meinst du das?

Der Aufbau ist:
index.php --> darin inkludiert z.B. header.php
und eben dann auch $_GET["site"].php inkludiert - und da ist diese Prüfung dann drin.

Grüße, Frederic

**DeddyH**

Achso, die Reihenfolge lässt sich nicht ändern?

[PHP] Session-Management - Sicherheit

[PHP] Session-Management - Sicherheit

Re: [PHP] Session-Management - Sicherheit

Re: [PHP] Session-Management - Sicherheit

Re: [PHP] Session-Management - Sicherheit

Re: [PHP] Session-Management - Sicherheit

Re: [PHP] Session-Management - Sicherheit

Re: [PHP] Session-Management - Sicherheit

Re: [PHP] Session-Management - Sicherheit

Re: [PHP] Session-Management - Sicherheit

Re: [PHP] Session-Management - Sicherheit

Forumregeln

fkerber (CodeLib-Manager) Registriert seit: 9. Jul 2003 Ort: Ensdorf 6.723 Beiträge Delphi XE Professional	#3 Re: [PHP] Session-Management - Sicherheit 19. Jul 2009, 19:15 Hi! Und das stellt dann sicher, dass der redirect durchgeführt wird, aber die Seite nicht weiter angezeigt wird? Zitat von omata: Aber mal was grundlegendes: PHP- und HTML-Code zu vermischen ist nicht gerade schön. Wie würdest du / würde man es denn hier anders lösen? Grüße, Frederic Frederic Kerber
	Zitat

himitsu Online Registriert seit: 11. Okt 2003 Ort: Elbflorenz 43.157 Beiträge Delphi 12 Athens	#4 Re: [PHP] Session-Management - Sicherheit 19. Jul 2009, 19:26 ein kleines Templatesystem, die HTML-Seiten per include reinladen, oder einen redirect zur HTML-Fehler-Seite. Garbage Collector ... Delphianer erzeugen keinen Müll, also brauchen sie auch keinen Müllsucher. my Delphi wish list : BugReports/FeatureRequests
	Zitat

fkerber (CodeLib-Manager) Registriert seit: 9. Jul 2003 Ort: Ensdorf 6.723 Beiträge Delphi XE Professional	#5 Re: [PHP] Session-Management - Sicherheit 19. Jul 2009, 19:30 Hi! Naja, ein redirect wird direkt ja nicht gehen, da der Header schon weg ist und lohnt sich für den Dreizeiler jetzt wirklich ein Include einer HTML-Datei? Was ist an der aktuellen Machart schlecht? Grüße, Frederic Frederic Kerber
	Zitat

DeddyH Registriert seit: 17. Sep 2006 Ort: Barchfeld 27.542 Beiträge Delphi 11 Alexandria	#6 Re: [PHP] Session-Management - Sicherheit 19. Jul 2009, 19:41 Der Header ist doch erst "weg", wenn die erste Ausgabe erfolgt ist. Detlef *"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen."* (Albert Einstein) Dieser Tag ist längst gekommen
	Zitat

fkerber (CodeLib-Manager) Registriert seit: 9. Jul 2003 Ort: Ensdorf 6.723 Beiträge Delphi XE Professional	#7 Re: [PHP] Session-Management - Sicherheit 19. Jul 2009, 19:47 Ja, aber die Datei ist ja in der index.php inkludiert. Und da ist ja schon oben ein Banner z.B. raus oder das Menü o.ä. Grüße, Frederic Frederic Kerber
	Zitat

DeddyH Registriert seit: 17. Sep 2006 Ort: Barchfeld 27.542 Beiträge Delphi 11 Alexandria	#8 Re: [PHP] Session-Management - Sicherheit 19. Jul 2009, 19:52 Aber doch nicht, wenn Du gleich als erstes die Prüfung vornimmst. Detlef *"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen."* (Albert Einstein) Dieser Tag ist längst gekommen
	Zitat

fkerber (CodeLib-Manager) Registriert seit: 9. Jul 2003 Ort: Ensdorf 6.723 Beiträge Delphi XE Professional	#9 Re: [PHP] Session-Management - Sicherheit 19. Jul 2009, 20:04 Wie meinst du das? Der Aufbau ist: index.php --> darin inkludiert z.B. header.php und eben dann auch $_GET["site"].php inkludiert - und da ist diese Prüfung dann drin. Grüße, Frederic Frederic Kerber
	Zitat

DeddyH Registriert seit: 17. Sep 2006 Ort: Barchfeld 27.542 Beiträge Delphi 11 Alexandria	#10 Re: [PHP] Session-Management - Sicherheit 19. Jul 2009, 20:07 Achso, die Reihenfolge lässt sich nicht ändern? Detlef *"Ich habe Angst vor dem Tag, an dem die Technologie unsere menschlichen Interaktionen übertrumpft. Die Welt wird eine Generation von Idioten bekommen."* (Albert Einstein) Dieser Tag ist längst gekommen
	Zitat