Siechfred: sicherheit bei perl/cgi skript mit Anmeldefunktion

Beitrag lesen

SELF-Forum

sicherheit bei perl/cgi skript mit Anmeldefunktion

Siechfred Homepage des Autors
Informationen zu den Bewertungsregeln

Hell-O!

Ist es den Aufwand wert, eine Fallunterscheidung einzubauen?

Kommt drauf an, wie wichtig die Session ist. Ggf. kann man abfragen, ob ein Cookie gesetzt ist, und wenn nicht auf die dann fehlende Funktionalität hinweisen.

  • ist die SID eindeutig, bzw. nicht von aussen nachvollziehbar oder leicht knackbar?
    Christian Kruse hatte mir mal eine Subroutine zur Verfügung gestellt:
    heisst das, dass meine routine unsauber ist? oder ist das nur eine andere alternative dazu?

Letzteres :-)

Ich war seinerzeit, ähnlich wie du, auf der Suche nach einem Algorithmus zum Generieren einer möglichst eindeutigen SID. Ich habe dir den Archivthread mal rausgesucht:

http://forum.de.selfhtml.org/archiv/2005/1/t98234/

Wie ich sehe verwendest du fuer die Verwaltung der SID keine Files sondern eine Datenbank.

Ja, war damals eine Fingerübung: Mein erstes Modul kombiniert mit der ersten DB-Anwendung. Von der Performance her kommt es darauf an, wieviele Sessions du verwalten willst. Naja, und bei einer DB musst du dir um Locking und ähnliche Probleme keine Gedanken machen.

du verwendest in jeder routine mit DB-zugriff DB_connect() und DB_close(). waere es nicht besser die Datenbank gleich am anfang zu verbinden, dann ein Db-Handle an die einzelnen Subroutinen zu uebergeben und erst am Schluss die Verbindung wieder zu trennen?

Gedacht war das Modul für eine Weblog-Software in Perl. Da war der Ablauf so, dass beim ersten Seitenzugriff eine Session erzeugt wurde, die bei weiteren Aufrufen abgefragt und ggf. mit Werten befüllt wurde. Es gibt also mehrere verschiedene Varianten. Angenommen, jemand ruft die Seite auf, ohne irgendwelche Aktionen vornehmen zu wollen. Dann wird lediglich die Session abgefragt und gut. Würde ich die DB nicht ordnungsgemäß schließen, würde ich das dem System überlassen - das fände ich nicht so gut. Und da ich beim ersten Abfragen nicht weiß, ob ich überhaupt noch was in der Session ablegen will, schließe ich sie eben. Soll dann doch was in die Session geschrieben werden, muss ich die DB eben wieder öffnen. Ob das jetzt der eleganteste Weg ist, kann ich dir nicht sagen :-)

Siechfred

--
Ich bin strenggenommen auch nur interessierter Laie. (molily)
Kabelkuddelmuddel || Steuerfreie Geburtsbeihilfen?  || RT 221 Erfurt-Altstadt i.V.
Beitrag melden
Informationen zu den Bewertungsregeln