Meine unvollständigen Anmerkungen:

Somit erkennt mich der Server und schickt mir die Ressource 'foo.php' inclusive aller Werte/Variablen des dieser Session dazugehörenden Arrays '$_SESSION'. Habe ich das soweit richtig verstanden?

Nein, die Werte aus $_SESSION werden nicht automatisch mitgesendet.

Das 'htmlspecialchars()' ist eine Sicherheits-Absicherung gegen bösartige Angriffe.

Nein, es wandelt nur Zeichen um die im HTML-Kontext kein HTML sein sollen, siehe auch htmlentities().

3.) Gegen welche Art von Angriff bzw. Mißbrauch schütze ich mich eigentlich durch die verwendung des 'htmlspecialchars()' beim Anhängen der SID an eine URL?

Gegen keine Art.

4.) Bleiben wir bei meiner Konfiguration. Es wird nur mit Cookies gearbeitet - und nehmen wir weiters an, der Browser des Users läßt Cookies zu. Das bedeutet, um bei obigem Beispiel zu bleiben, dass die nächste Seite als 'nextpage.php?' aufgerufen wird. Mich nervt dieses nun sinnlose Fragezeichen am Ende der URL sehr. Muß ich damit leben oder kann ich den Code irgendwie so abändern, dass nur 'nextpage.php' aufgerufen wird, wenn Cookies akzeptiert werden und die SID somit im Header mitgesendet wird?

Natürlich, finde raus ob Cookies akzeptiert werden und füge an die url nur dann was an, wenn dem nicht so ist.

5.) Nicht verstanden habe ich das Beenden einer Session. Wenn ich noch vor dem 'session_start()' ein 'session_set_cookie_params('3600');' setze - was bedeutet das genau? Dass nach 1 Stunde alles weg ist, ...

Das ist ein Cookie-Parameter, der hat mit der Session auf dem Server unmittelbar nichts zu tun, er bestimmt nur die _gewünschte_ Lebensdauer des Cookie.

Und was genau bedeutet der Parameter 'session.cache_expire' in der php.ini, der bei mir standardmäßg den Wert '180' hat? Das hat doch auch was mit der Dauer der Gültigkeit zu tun, oder? Also die Beendigung und Dauer einer Session ... das habe ich noch nicht ganz verstanden.

Der ist für die Lebensdauer der Session (auf dem Server) zuständig.

6.) ... bin ich auf der sicheren Seite oder ist Arbeiten mit Sessions sehr gefährlich?

Das hängt grundsätzlich maßgeblich davon ab, was für Daten du in der Session verwendest und was Du anhand der Session tust. Einstellungen für die benutzerspezifische Darstellung der Seite sind weniger kritisch als der Zugang zum Adminbereich. Solange ich so eine Frage wie Du sie stellst stellen müßte, benutze ich Sessions nur in einer Weise, daß nichts was damit passieren kann schädlich sein kann.

Hi!

[...] muß ich, wenn ich eine Session möchte, diese manuell starten und schreibe deshalb gleich zu Beginn als allererstes, also gleich nach dem einleitenden '<?php' ein 'session_start();' in die nächste Zeile. Habe ich das soweit richtig verstanden?

Jein. Es darf lediglich vor dem session_start() keine andere Ausgabe außer HTTP-Headern (Funktion header()) erfolgt sein. Wenn du zum Beispiel nach dem EVA-Prinzip strukturierst, hast du ja erst ganz zum Schluss irgendwelche Nutzdatenausgaben, und bis dahin kannst du beliebig Header generieren, auch den Cookie-Header von session_start().

[$_SESSION und SID] Habe ich das soweit richtig verstanden?

Ja. Das wichtigste ist $_SESSION. Die SID ist nett zu wissen, ist aber nicht unbedingt kriegsentscheidend. Das PHPSESSID wirst du als Keksname oder bei angehängtem URL-Parameter wiederfinden.

In meiner php.ini haben die Parameter 'session.use_cookies' und 'session.use_only_cookies' beide den Wert '1'. Das bedeutet, dass der Wert meiner SID automatisch durch ein Cookie beim Client hinterlegt wird.

Und nur durch einen Cookie, keinen angehängten URL-Parameter.

Ruft nun der Client eine weitere php-Ressource ab, dann sendet er in der Anfrage dafür im Header automatisch den Wert der SID mit. Bildlich gesprochen: Er sagt dem Client: Nun parse mir bitte die Ressource 'foo.php' ... and by the way ... ich bin der Kunde mit der SID 'bar'. Somit erkennt mich der Server und schickt mir die Ressource 'foo.php' inclusive aller Werte/Variablen des dieser Session dazugehörenden Arrays '$_SESSION'. Habe ich das soweit richtig verstanden?

Jein. Aus Sicht des Browsers existiert nur ein Cookie für die Domain (und Path, wenn du den Default-Wert '/' änderst), das er mitsendet. Dass das eine SID und dahinter eine Wiedererkennung seinerseits stattfindet, ist ihm egal.

Da es sein kann, dass User in ihrem Browser Cookies deaktiviert haben, muß ich mich jetzt aber darum kümmern, dass sich auch diese User beim Aufruf der nächsten Ressource für eine Session identifizieren können - sprich, dass auch diese User die SID auf den Weg mitbekommen.

Das kann PHP auch selbst erledigen. Da URL-Parameter aber einfacher in fremde Hände gelangen können, hat man diesen Weg mittlerweile nicht mehr per default eingeschaltet. Relevant dafür sind session.use_only_cookies und session.use_trans_sid.

Wenn ich also einen Link von der Session-startenden Seite zu einer nächsten schreibe, dann mache ich das so: [...] Dabei passiert Folgendes: Wenn der User Cookies akzeptiert, wird die Seite als 'nextpage.php?' aufgerufen und die SID im Header, also nicht sichtbar, mitgesendet. Wenn der Browser des Users Cookies nicht akzeptiert, wird die Seite als 'nextpage.php?PHPSESSID=7e7467a2d2...' aufgerufen. Die SID ist somit sichtbar.

Das geschieht nicht automatisch, wenn du das zu Fuß machen willst. In dem Fall musst du auch prüfen, ob ein Session-Cookie vorhanden ist und dementsprechend die URL ändern oder auch nicht.

Das 'htmlspecialchars()' ist eine Sicherheits-Absicherung gegen bösartige Angriffe.

Ja, hat aber nicht nur was mit Sessions zu tun, sondern ist bei allen Ausgaben anzuwenden, wenn du nicht absolut sicher bist, dass die keine HTML-relevanten Zeichen enthalten - also im Prinzip alles was in einer Variable steht, deren Inhalt du nicht abolut sicher kennst, muss behandelt werden (Stichwort Kontextwechsel).

1.) Habe ich das Session-Sytsem, zumindest mal den Anfang davon, grundlegend richtig verstanden? Gibt es irgendwelche weiteren Session-Parameter in der php.ini, auf die ich aus bestimmten Gründen achten muß?

In einer Multi-Anwendungen-Umgebung ist es sinnvoll, jeder Anwendung ihren eigenen session.save_path zu spendieren, sonst legen alle ihr Zeug gemeinsam ab und der mit den aggressivsten Garbage-Collection-Einstellungen putzt den anderen die Session-Dateien unabhängig von deren Verständnis von einem Timeout weg.

2.) Was würde denn passieren, wenn in meiner php.ini der Parameter 'session.use_only_cookies' den Wert '0' hätte? Dann würde also die SID nicht nur über den Cookie und weiter dann im Header der nächsten Anfrage zum Client kommen, sondern auch ... wie???

... über URL-Parameter, Hidden-Fields im Formular. Ob der Parameter auch Auswirkungen hat, ob nur im Cookie nach der SID gesucht wird, entzieht sich meiner Kenntnis. Das Handbuch schreibt bei der Parametererläuterung nichts darüber.

Und wenn jetzt zusätzlich auch noch der Parameter 'session.use_cookies' den Wert '0' hätte, dann gäbe es also keinen gesetzten Cookie und das weitere Prozedere wäre ... was???

session.use_cookies sagt, dass überhaupt Cookies zum Transport der SID verwendet werden. session.use_only_cookies gibt an, dass diese ausschließlich verwendet werden. Wenn du ersteres auf 0 setzt, musst du die SID selbständig anderweitig übertragen.

3.) Gegen welche Art von Angriff bzw. Mißbrauch schütze ich mich eigentlich durch die verwendung des 'htmlspecialchars()' beim Anhängen der SID an eine URL?

http://wiki.selfhtml.org/wiki/Artikel:Kontextwechsel

4.) Bleiben wir bei meiner Konfiguration. Es wird nur mit Cookies gearbeitet - und nehmen wir weiters an, der Browser des Users läßt Cookies zu. Das bedeutet, um bei obigem Beispiel zu bleiben, dass die nächste Seite als 'nextpage.php?' aufgerufen wird. Mich nervt dieses nun sinnlose Fragezeichen am Ende der URL sehr. Muß ich damit leben oder kann ich den Code irgendwie so abändern, dass nur 'nextpage.php' aufgerufen wird, wenn Cookies akzeptiert werden und die SID somit im Header mitgesendet wird?

Du kannst prüfen, ob die SID defined() ist oder nicht und abhängig davon das ? setzen. Ansonsten ist das Fragezeichen völlig harmlos, kein Grund sich davon genervt zu fühlen.

5.) Nicht verstanden habe ich das Beenden einer Session. Wenn ich noch vor dem 'session_start()' ein 'session_set_cookie_params('3600');' setze - was bedeutet das genau? Dass nach 1 Stunde alles weg ist, also die Variablen/Werte im Arry plus Name und wert der ID, so als ob es also nie eine Session gegeben hätte, oder ist das nur die Gültigkeitsdauer des Arrayinhalts?

Das ist nur die Cookie-Lebenszeit. Die Session selbst ist davon nicht betroffen. Für die gilt, dass sie mindestens session.gc_maxlifetime lang lebt. Danach darf der Garbage-Collector, der per Zufall zum Sessionstart aufgerufen wird, sie aufräumen. Zuständig für den Zufall sind die 'gc_...'-Werte.

Wenn du die Session-Daten explizit löschen willst, kannst du mit $_SESSION = array(); die Daten entfernen. Dass da noch in Cookies und anderswo die SID rumliegen kann, ist nebensächlich. Prüfe nicht, ob eine Session existiert, sondern ob in $_SESSION die für dich relevanten Daten drinstehen oder nicht. Die SID komplett wegräumen zu wollen ist vegebenen Liebesmüh.

session_destroy() [...]

kannst du zugunsten der Leeres-Array-Methode ignorieren.

Und was genau bedeutet der Parameter 'session.cache_expire' in der php.ini, der bei mir standardmäßg den Wert '180' hat?

Das hat zusammen mit session.cache_limiter nur eine HTTP-Header beeinflussende Funktion. Das gibt an, inwieweit der Browser die Seite in seinem Cache gültig lassen soll. Ist standardmäßig ausgeschaltet, weil man Session-Seiten eigentlich nicht cachen will. Auf die Lebensdauer der Session-Daten hat das keine Auswirkungen.

6.) Bei oben beschriebenen Einstellungen - bin ich auf der sicheren Seite oder ist Arbeiten mit Sessions sehr gefährlich?

SID-Diebstahl fällt mir dazu nur ein, der zu einer Session-Übernahme führen kann. Das kannst aber nicht du allein verhindern. Wenn es wirklich darauf ankommt, vergib zu solch kritischen Aktionen Einmal-IDs. Maßnahmen gegen CSRF können auch gegen Entführungen helfen.

Lo!

Hello,

Durch mein 'session_start();' wird also eine Session gestartet bzw. eine schon bestehende wieder aufgenommen. Session bedeutet, dass es ab diesem Zeitpunkt ein Array mit dem Namen '$_SESSION' gibt, in welches ich jetzt beliebig viele Variablen/Werte schreiben kann

begrenzt durch den für Scripte bereitgestellten Arbeitsspeicher. Da dieser meistens nur 8MB betträgt, solltest Du also rechtzeitig aufhören, das Sessionarray mit Daten zu füttern. Sonst kann es Dir nämlich passieren, dass es zwar noch weggeschrieben, nicht aber wiedergeholt werden kann beiom nächsten Request. Mach einfach mal ein paar Versuche und teile uns Deine Erfahrungen mit.

[...] und andere Seiten, die dann mit dieser Session weiterarbeiten,

gewöhne Dir am besten gleich den Begriff "Seiten" ab und benutze stattdessen "Request". Welche Ressource innerhalb der Domain dieser Request anfordert, ist für den Sessionmechanismus erst einmal irrelevant.

auf diese Werte bzw. dieses Array zugreifen können. In dem Moment, wo eine Session gestartet wird, vergibt der Server auch ein Erkennungsmerkmal für diese Session, damit sie identifiziert werden kann. Dieses Erkennungsmerkmal ist die SID.

Standartmäßig

standardmäißg

hat die SID den Namen 'PHPSESSID' und einen (durch Zufallsgenerator entstandenen?) eindeutigen Wert, der vom Server, auf dem PHP läuft, vergeben wird. Der Name der SID wird ebenfalls durch die php.ini geregelt, nämlich durch den Parameter 'session.name'. Habe ich das soweit richtig verstanden?

Du kannst den Namen auch selber setzen im Script, wenn Du session_name() benutzt, bevor Du session_start() aufrufst. So können in einem Request-Handler auch mehrere Sessiondateienn gleichzeitig verwendet werden.

In meiner php.ini haben die Parameter 'session.use_cookies' und 'session.use_only_cookies' beide den Wert '1'. Das bedeutet, dass der Wert meiner SID automatisch durch ein Cookie beim Client hinterlegt wird.

... dass der Server in seiner Response automatisch die Session-ID als Cookie mitsendet. Ob er vom Client akzeptiert wird, entscheidet der Client.

Ruft nun der Client eine weitere php-Ressource ab, dann sendet er in der Anfrage dafür im Header automatisch den Wert der SID mit.

Er sendet das Name-Value-Pärchen für denn Cookie mit.

Bildlich gesprochen: Er sagt dem Client:

... der Client fordert den Server auf

Nun parse mir bitte die Ressource 'foo.php' ... and by the way ... ich bin der Kunde mit der SID 'bar'. Somit erkennt mich der Server und schickt mir die Ressource 'foo.php' inclusive aller Werte/Variablen des dieser Session dazugehörenden Arrays '$_SESSION'.

Der Server kann die passenden Sessiondaten wiederherstellen und sie in die Auswertung des Requests einfließen lassen. Er behält aber die Daten für sich, wenn Du nicht im Script ausdrücklich etwas anderes (echo ...) bestimmt hast.

Da es sein kann, dass User in ihrem Browser Cookies deaktiviert haben, muß ich mich jetzt aber darum kümmern, dass sich auch diese User beim Aufruf der nächsten Ressource für eine Session identifizieren können - sprich, dass auch diese User die SID auf den Weg mitbekommen.

Du kannst Dich darum kümmern. Du kannst das aber auch getrost PHP überlassen. Dann setze eben nicht den Konfigurationsparameter session.use_only_cookies auf 1 und erlaube die Nutzung einer transparenten SID http://de.php.net/manual/de/session.configuration.php#ini.session.use-trans-sid

PHP baut dann in die erste Response nach dem ersten session_start(), wenn also in keinem der drei Arrays $_COOKIE, $_POST und $_GET eine Session-ID zu finden war, sowohl einen Cookie ein, als auch die transparente SID in alle Formulare als Hidden-Element, in alle Links auf die eigene Domain als Get-Parameter. Das geht erfreulicherweise ganz automatisch, wenn Du es zulässt.

Wenn ich also einen Link von der Session-startenden Seite zu einer nächsten schreibe,

Wenn du eine neue Request-URi baust und in die response einsetzt...

dann mache ich das so:

Dann lasse es PHP für dich tun. :-))

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg