Du bist nicht angemeldet.

Stilllegung des Forums
Das Forum wurde am 05.06.2023 nach über 20 Jahren stillgelegt (weitere Informationen und ein kleiner Rückblick).
Registrierungen, Anmeldungen und Postings sind nicht mehr möglich. Öffentliche Inhalte sind weiterhin zugänglich.
Das Team von spieleprogrammierer.de bedankt sich bei der Community für die vielen schönen Jahre.
Wenn du eine deutschsprachige Spieleentwickler-Community suchst, schau doch mal im Discord und auf ZFX vorbei!

PHP Session geht bei Seitenwechsel verloren

  • 1
  • 2

Werbeanzeige

MitgliedXYZ

Alter Hase

  • »MitgliedXYZ« ist der Autor dieses Themas

Beiträge: 1 369

Wohnort: Bayern

  • Private Nachricht senden

11

21.04.2013, 12:41

Zitat von »benjs«

Naja das musst du wissen. Eine gute Lösung wäre das definitiv nicht, denn wenn ich mich <span style=" font-weight: bold; font-size: 100px;text-decoration: blink;">Benutzername</span> nennen würde, hätte ich einen fetten, blinkenden Schriftzug als Benutzername :)
Dagegen schafft htmlspecialchars() Abhilfe, denn aus jedem < wird ein &lt; und aus jedem > wird ein &gt; - dann ist es ganz egal wie ich mich nenne und der Name wird auch immer gleich angezeigt.

PHP-Quelltext

 
1

$Benutzername htmlspecialchars($_SESSION["Benutzer"]);


Ok, dass wäre dann die einfachere Lösung, aber wenn ich die Eingaben bei einem "<" nicht mehr annehmen würde, könnten sonstige HTML-Eigenschaften auch nicht mehr verwendet werden...

DeKugelschieber

Community-Fossil

Beiträge: 2 641

Wohnort: Rheda-Wiedenbrück

Beruf: Software-Entwickler

  • Private Nachricht senden

12

21.04.2013, 13:00

benjs hat natürlich recht, man sollte generell keinem User vertrauen und alle Eingaben abfangen und absichern. Das Beispiel war jetzt nur so gewählt um möglichst klein zu bleiben.
Grüße, Kugel

GitHub Meine Firma Pirsch Analytics

benjs

Frischling

Beiträge: 19

Beruf: Schüler

  • Private Nachricht senden

13

21.04.2013, 13:06

Zitat von »MitgliedXYZ«

Ok, dass wäre dann die einfachere Lösung, aber wenn ich die Eingaben bei einem "<" nicht mehr annehmen würde, könnten sonstige HTML-Eigenschaften auch nicht mehr verwendet werden...

Natürlich kann man dann auch noch andere HTML Eigenschaften nehmen. Man muss ja nur das escapen, was man selber nicht unter Kontrolle hat, also alles was man aus $_POST, $_GET, $_REQUEST und teilweise auch aus $_SERVER(z.B. HTTP_USER_AGENT) liest.
Das WBB(das Foren-System von spieleprogrammierer.de) z.B. sichert als erstes alles was in $_POST und $_GET steht mit htmlspecialchars() gegen XSS-Attacken und mysql_real_escape_string() gegen SQL-Injections.

Ein PHP-Template sähe dann z.B. so aus:

PHP-Quelltext

 
1
2
3
4
5
6
7
8
9
10

<!DOCTYPE html>
<html>
    <head>
        <title>Titel</title>
        <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    </head>
    <body>
        <p><span style="font-weight: bold;">Benutzername:</span> <?php echo htmlspecialchars($_SESSION['Benutzer']); ?></p>
    </body>
</html>


Man beachte Zeile 8 :) So ist dann nur der Benutzername gesichert, sodass der nicht von außen verändert werden kann oder gar mit JavaScript versehen werden kann.

MfG :)

BlueCobold

Community-Fossil

Beiträge: 10 738

Beruf: Teamleiter Mobile Applikationen & Senior Software Engineer

  • Private Nachricht senden

14

21.04.2013, 14:13

Zitat von »MitgliedXYZ«

Alle Seiten sind mit folgendem Code begonnen

Quellcode

 
1
2
3
4

<?php
//starten
session_start();
?>
Das hat komischer Weise nicht funktioniert, obwohl ich dachte das Kommentare ignoriert werden...
Der Kommentar ist ohnehin Unfug, solche miesen Kommentare sollte man sich gar nicht erst angewöhnen.
Teamleiter von Rickety Racquet (ehemals das "Foren-Projekt") und von Marble Theory

Willkommen auf SPPRO, auch dir wird man zu Unity oder zur Unreal-Engine raten, ganz bestimmt.[/Sarkasmus]

MitgliedXYZ

Alter Hase

  • »MitgliedXYZ« ist der Autor dieses Themas

Beiträge: 1 369

Wohnort: Bayern

  • Private Nachricht senden

15

21.04.2013, 17:50

Zitat von »BlueCobold«

Zitat von »MitgliedXYZ«

Alle Seiten sind mit folgendem Code begonnen

Quellcode

 
1
2
3
4

<!--?php
//starten
session_start();
?>
Das hat komischer Weise nicht funktioniert, obwohl ich dachte das Kommentare ignoriert werden...
Der Kommentar ist ohnehin Unfug, solche miesen Kommentare sollte man sich gar nicht erst angewöhnen.
Ich habe den Kommentar abgeändert fürs Forum, es ging mir nur zum zeigen, dass an dieser Stelle ein Kommentar war, der eigentliche Text lautete "//Wenn Logindaten übermittelt wurden, session daten festlegen"

Tobiking

1x Rätselkönig

Beiträge: 1 231

  • Private Nachricht senden

16

21.04.2013, 18:01

Das mit dem Kommentar würde mich aber ehrlich gesagt wundern. Selbst die Beispiele auf http://www.php.net/manual/en/function.session-start.php enthalten einen Kommentar. Die einzige Bedingung ist, wie dort auch steht, dass vorher noch nichts ausgegeben wurde.

BlueCobold

Community-Fossil

Beiträge: 10 738

Beruf: Teamleiter Mobile Applikationen & Senior Software Engineer

  • Private Nachricht senden

17

21.04.2013, 18:42

Zitat von »MitgliedXYZ«

"//Wenn Logindaten übermittelt wurden, session daten festlegen"

Was jetzt nicht wirklich viel sinnvoller ist ;)
Teamleiter von Rickety Racquet (ehemals das "Foren-Projekt") und von Marble Theory

Willkommen auf SPPRO, auch dir wird man zu Unity oder zur Unreal-Engine raten, ganz bestimmt.[/Sarkasmus]

benjs

Frischling

Beiträge: 19

Beruf: Schüler

  • Private Nachricht senden

18

21.04.2013, 18:51

Zitat von »Tobiking«

Die einzige Bedingung ist, wie dort auch steht, dass vorher noch nichts ausgegeben wurde.

Komischerweise kann ich auch vor session_start() Sachen senden - obwohl session.use_only_cookies aktiviert ist.

MfG

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »benjs« (21.04.2013, 18:59)

Werbeanzeige

  • 1
  • 2

Ähnliche Themen