Naps: Login Klasse/Meinung/Verbesserungsvorschläge

Beitrag lesen

Hi,

ergänzend zu dem, was bereits gesagt wurde: Du solltest bei jedem erfolgreichen Login-Vorgang selbst per session_regenerate_id() aufrufen, um Session-Fixation-Angriffe zu verhindern. Es ist bereits etwas Code vorhanden, der bestimmte Angriffsvektoren ausschließt - aber eben nicht alle.

Faustregel: Jedes mal, wenn sich in einer Session die Privilegien erhöhen (Nicht eingloggt -> eingeloggt z.B.), sollte eine neue Session-ID erzeugt werden (session_regenerate_id), um Session-Fixation-Angriffe zu verhindern.

Das mach ich doch oder?

if (!isset( $_SESSION['server_SID'] )) {  
        session_unset();  
        $_SESSION = array();  
        session_destroy();  
        session_start();  
        session_regenerate_id();  
        $_SESSION['server_SID'] = TRUE;  
}

oder sollte ich das auch lieber in der Klasse machen?

MfG
Naps