Sessies veiliger dan ip bijhouden in datebase?

[JohnnyReinders]

Hheeyy

Ik ben een login script aan het maken, ik lees wat tutorials door en probeer dan van wat ik weet iets in elkaar te zetten, maar nu zit ik met het volgende;

Edit--

Ik zit nu met iets anders maar het gaat over ongeveer het zelfde.
als ik op internet rondkijk voor tutorials over sessions dan kom ik bijna overal tegen dat het sessie id word onthouden door $_GET of door cookies. Waarbij allebij nadelen zijn.

Het lijkt me mogelijk om een sessie ID op te slaan in een database, kan iemand mij vertellen waarom dit niet/weinig voorkomt?

 

[wampier]

De sessie ID is een uniek kenmerk van een verbinding, niet van een persoon. Het opslaan van de sessie-ID is dus niet zo zinnig, omdat het de persoon niet uniek identificeert.

Op de server opslaan is ook niet het probleem. Het is namelijk de client die telkens zijn sessie moet meesturen.

 

[JohnnyReinders]

okee bedankt voor de reactie, maar als de gegevens worden opgeslagen in een cookie is dat dan wel veilig?

 

[wampier]

zolang niemand dat cookie kan bereiken (cross site scripting / man in the middle / etc.) is het in principe veilig. eventueel met geforceerde logout na x minuten. Het is over het algemeen redelijk veilig, zolang je de juiste voorzorgsmaatregelingen neemt.

 

[JohnnyReinders]

Okee dan weet ik dat, dan zal ik mijn zoektocht daarop baseren, bedankt

 

[Naarling]

Sessie ID in de $_GET zetten is overigens een slecht idee. Stel dat een ingelogde gebruiker een link naar jouw site wil plaatsen, dan kan zijn Sessie ID daar dus in zitten. Iemand die die link ziet kan zich vervolgens (afhankelijk van je andere beveiligingsmaatregelen) voordoen als die gebruiker.