nicht angemeldet
Hi!
- Cookies oder Sessions-ID in URL übrgeben; beides berückrichtigen oder gleich auf Cookies verzichten
Cookies können abgelehnt werden.
Ich mag Cookies lieber als SessionIDs auf andere Weise zu übergeben, wobei man wie Du richtig sagst nicht überall Cookies voraussetzen kann. Meine Lieblingsvariante ist allerdings die SSL-Session-ID zu verwenden, geht nur nicht immer ;-)
- Frames oder besser inculdes (location.href oder doch lieber header())?
Eigentlich ist es nicht wirklich zu vergleichen, aber bevor Du eine Seite an den Browser sendest nur um ihn dann per meta-refresh oder Javascript auf eine andere zu leiten würde ich unbedingt header() empfehlen, den dazu ist der Location-Header schließlich da.
- Alles in einer php-Datei oder mehrer?
Wenn Du mehrere PHP-Scripte hast und globale Einstellungen... hast die in jedem Script gleich sind, z.B. Verbindung zu DB herstellen, Session starten... sollte man das evtl. in eine Datei (außerhalb des doc-root!) auslagern und immer einbinden wenn benötigt. Hat den Vorteil dass man ggfs. Änderungen global an einer Stelle vornehmen kann.
- im inet gelesen habe ich reichlich, aber was brauche ich davon?
Jepp, und vielleicht noch http://tut.php-q.net/ für den Anfang.
Besonders:
http://www.dclp-faq.de/ch/ch-code.html
und Sachen wie: http://www.zend.com/zend/tut/tut-hatwar3.php (und links)
http://talks.php.net/show/web-app-security
http://de3.php.net/manual/de/security.index.php
http://www.dclp-faq.de/search.php?l=20&q=sicherheit
Beschäftige Dich zunächst allgemein mit Client-Server-Architektur. Einige Deiner Fragen lassen auf Unverständnis des Unterschiedes schließen; dies solltest Du ausräumen, _bevor_ Du Dich an PHP wagst. Finde heraus, wer wann was mit welchen Konsequenzen macht.
Einen kleinen Einstieg hier bietet z.B.: http://www.dclp-faq.de/q/q-web-server-client.html
Grüße
Andreas