auch die phpsession läuft mit nem cookie, da das http protokoll zustandslos ist bleibt dir nichts anderes übrig als cookies zu nutzen um user in irgendeiner form einzuloggen.
Was tolio sagen will:
Benutz nich nen Cookie zum Speichern der SID, sondern z.B. nen GET Parameter.
Und dann kannst du natürlich Cookies ganz normal für "Remember Me" verwenden.
btw, kommt das nich in die Tutorials Sektion? Sollte mal n Mod verschieben...
Cookies werden Client-Side gespeichert und können so ganz leicht zur SQL Injektion führen wenn man Cookies in die Datenbank abfrage hinzufügt deshalb niemals vergessen die Parameter zu Escapen. Man sollte sowieso lieber zu viel Escapen als zu Wenig.
DAS würde ich nicht machen, denn wenn der Benutzer jemanden diesen Link sendet und die Session noch nicht beendet wurde hat dieser seinen Zugang
Da müsste man wieder mit IP/MAC-Adresse/etc.. validieren, ob es der selbe ist.
Sehe ich genauso.
Das mit dem GET Parameter wäre schwachsinnig.
Und natürlich ist dies nur ein Beispiel wie man es machen kann. Natürlich muss man Escapen und den Login allgemein Validieren, das ist aber bei jedem so verschieden, dass ich darauf nicht eingegangen bin.
DAS würde ich nicht machen, denn wenn der Benutzer jemanden diesen Link sendet und die Session noch nicht beendet wurde hat dieser seinen Zugang
Da müsste man wieder mit IP/MAC-Adresse/etc.. validieren, ob es der selbe ist.
Aber dann hast du doch trotzdem wieder diesen Link^^
Natürlich zieht das wieder eine neue Reihe an Sicherheitsprüfungen hinter sich her.
Der GET Parameter ist aber keinesfalls Schwachsinn, sondern eine GÄNGIGE Methode, um Sessions ohne Cookie Unterstützung durchzusetzen (mir fallen nur sehr abenteuerliche Alternativen ein).
Vor allem Leute, die professionell arbeiten, bedienen sich solcher Mittel, deshalb denke ich, dass dies in diesem Forum(/Thread) einfach fehl am Platz ist.
RL Beispiele:
...
Warum man allerdings nur selten auf SIDs in URLs stößt ist, weil es eben eine Menge Arbeit ist (immerhin müssen alle Links entsprechend geändert werden). Ohne ein entsprechendes System im Hintergrund würde ich persönlich auch auf sowas verzichten und den Besucher auffordern, Cookies zu aktivieren.
[VB.net]Sicheres Key System? 11/27/2011 - .NET Languages - 9 Replies Könnte mir mal wer zeigen wie man ein sicheres Key system macht?
Man sollte bei Programm start den key eingeben müssen und wenn man ihn eingegeben hat dann beim nächsten start nicht mehr wie geht das?
Auto Login System- Forcing Players To Buy Premium 07/14/2009 - Silkroad Online - 35 Replies This is a new way to force players to buy premiums.
Just image how long you have to wait till there is going to be just one free slot.
Do you know how long it could take to login when there are ~4000 Bots trying to login at the same time ?
Well, I think its time to say Bye Bye iSRO since Im not going to buy Premium just to be able to login.
![[PHP] Sicheres Auto Login System](https://www.elitepvpers.com/forum/iconimages/coding-tutorials/php-sicheres-auto-login-system_ltr.gif){kind=small}
