SESSIONS, wat wel en wat niet?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: 1 2 3 volgende »

Victor -

Victor -

11/10/2011 23:16:24
Quote Anchor link
Hallo,

Ik ben nog een beetje aan het goochelen met sessie's. Van een heleboel mensen hoor ik dat het niet handig is om in je sessie iets als "ingelogd = true" neer te zetten.
Maar aan de andere kant, zeggen veel mensen dat mensen hun sessie niet kunnen aanpassen, omdat die alleen op de server staat.
Wat is nou wijsheid?
Gewoon heel simpel een '$_SESSION['ingelogd'] = true;'
of iets als '$_SESSION['ingelogd'] = hash($naam . $bool . $salt . $_SERVER['REMOTE_ADDR']);
 
PHP hulp

PHP hulp

22/12/2024 16:20:25
 
- SanThe -

- SanThe -

11/10/2011 23:24:15
Quote Anchor link
Dat kan op vele manieren. Je kan ook gewoon in de database bijhouden of iemand is ingelogd, dan zet je bv. het id in de session. Zeker is het ook slim om het ip in de database te zetten en steeds te checken of het ip wel bij het id hoort.
 
Victor -

Victor -

11/10/2011 23:26:37
Quote Anchor link
maar zoiets als een van mijn manieren is niet handig?

en als je alles zou loggen in je db, heb je dan niet enorm veel query's?
Of ruim je ze na 3 dagen op ofzoiets?
 
Marco Bos

Marco Bos

12/10/2011 00:00:01
Quote Anchor link
Hou het gewoon veilig en simpel, maak een sessie van de gebruikersnaam en haal die op uit de database. (als de naam/wachtwoord klopt bij het inloggen) gebruik voor je systeem een simpel hoofd file (soort class)(OOP), voor alle kleine dingetjes simpeler te maken en de query's veilig en mooi te laten uitvoeren.
 
Bartje Jansen

Bartje Jansen

12/10/2011 14:23:50
Quote Anchor link
- SanThe - op 11/10/2011 23:24:15:
Zeker is het ook slim om het ip in de database te zetten en steeds te checken of het ip wel bij het id hoort.

Bedenk wel dat je hiermee mobiele gebruikers (bv. via 3G) van jouw website gaat uitsluiten, die wisselen zeer vaak van ip-adres. Weliswaar binnen de netwerk-range van hun provider, maar het wisselt wél.
 
- SanThe -

- SanThe -

12/10/2011 14:34:23
Quote Anchor link
Bartje Jansen op 12/10/2011 14:23:50:
- SanThe - op 11/10/2011 23:24:15:
Zeker is het ook slim om het ip in de database te zetten en steeds te checken of het ip wel bij het id hoort.

Bedenk wel dat je hiermee mobiele gebruikers (bv. via 3G) van jouw website gaat uitsluiten, die wisselen zeer vaak van ip-adres. Weliswaar binnen de netwerk-range van hun provider, maar het wisselt wél.


Doen ze dat gewoon midden in een internetverbinding waarin ze aan het browsen zijn?
 
Bartje Jansen

Bartje Jansen

12/10/2011 15:17:59
Quote Anchor link
- SanThe - op 12/10/2011 14:34:23:
Bartje Jansen op 12/10/2011 14:23:50:
- SanThe - op 11/10/2011 23:24:15:
Zeker is het ook slim om het ip in de database te zetten en steeds te checken of het ip wel bij het id hoort.

Bedenk wel dat je hiermee mobiele gebruikers (bv. via 3G) van jouw website gaat uitsluiten, die wisselen zeer vaak van ip-adres. Weliswaar binnen de netwerk-range van hun provider, maar het wisselt wél.


Doen ze dat gewoon midden in een internetverbinding waarin ze aan het browsen zijn?

Ja, middenin een sessie, en dat ook meerdere keren. Ik log een zeer drukke website in NL (meer dan 1 miljoen bezoekers per dag) met een groot aantal mobiele gebruikers, en zie vele sessies vaak van ip-adres wisselen. Soms krijgen ze ook weer een ip-adres toegewezen wat ze enkele minuten eerder ook al hebben gebruikt.
 
Ozzie PHP

Ozzie PHP

12/10/2011 15:37:09
Quote Anchor link
Bartje, ik vind dit maar vreemd dat tijdens een sessie het ip adres wordt gewisseld. Ik dacht dat het een goede manier was om (indien bekend) de http referer op te slaan in een sessie-bestand. Zodra deze http referer dan verandert (wat zou neerkomen op een hackpoging) zou ik dan de sessie vernietigen.

Als het waar is wat jij zegt, dat een ip-adres gedurende 1 sessie kan wijzigen, dan zou de bovengenoemde beveiliging niks waard zijn.

Ik heb er nog nooit van gehoord dat ip-adressen kunnen wijzigen tijdens een en dezelfde sessie. Als iemand hier aantoonbaar bewijs voor kan leveren dan wil ik dat graag weten...
 
- SanThe -

- SanThe -

12/10/2011 16:06:04
Quote Anchor link
Ozzie PHP op 12/10/2011 15:37:09:
Ik heb er nog nooit van gehoord dat ip-adressen kunnen wijzigen tijdens een en dezelfde sessie. Als iemand hier aantoonbaar bewijs voor kan leveren dan wil ik dat graag weten...


Het lijkt mij inderdaad dat er op zijn minst dataverlies optreedt. Dus ik ben ook benieuwd naar het aantoonbaar bewijs.
 
Bartje Jansen

Bartje Jansen

12/10/2011 18:01:22
Quote Anchor link
Ozzie PHP op 12/10/2011 15:37:09:
Bartje, ik vind dit maar vreemd dat tijdens een sessie het ip adres wordt gewisseld. Ik dacht dat het een goede manier was om (indien bekend) de http referer op te slaan in een sessie-bestand. Zodra deze http referer dan verandert (wat zou neerkomen op een hackpoging) zou ik dan de sessie vernietigen.

Als het waar is wat jij zegt, dat een ip-adres gedurende 1 sessie kan wijzigen, dan zou de bovengenoemde beveiliging niks waard zijn.

Ik heb er nog nooit van gehoord dat ip-adressen kunnen wijzigen tijdens een en dezelfde sessie. Als iemand hier aantoonbaar bewijs voor kan leveren dan wil ik dat graag weten...

Dat bewijs kun je zelf genereren, ga maar eens met je mobieltje (met internet) in de trein zitten en dan surfen op jouw eigen website. Zo genereer je data op jouw site, via verschillende 3G antennes. En dus verschillende ip-adressen.

En nee, ik kan en mag hier geen loggings van onze website publiceren.
 
Ozzie PHP

Ozzie PHP

12/10/2011 18:17:45
Quote Anchor link
Bedoel je dan dat het ip-adres gekoppeld is aan een antenne? Dus dat iedere antenne z'n eigen ip-adres heeft?

(zit helaas nooit in een trein dus dat kan ik niet testen)
 
PHP Scripter

PHP Scripter

12/10/2011 18:30:21
Quote Anchor link
Het is onzin dat een mobiele gebruiker tijdens het het internetten opeens een ander IP krijgt. Ik weet niet waar je dit vandaan haalt?
Gewijzigd op 12/10/2011 18:30:42 door PHP Scripter
 
Ozzie PHP

Ozzie PHP

12/10/2011 20:30:20
Quote Anchor link
@PHP Scripter: Bartje lijkt nogal overtuigd en zegt dat dit blijkt uit zijn logbestanden. Lijkt me wel vreemd als dit inderdaad zo is... want hoe kun je dan iemand blocken op basis van z'n ip? Dan block je dus een complete antenne :-s

@Bartje: heb je op internet ergens informatie kunnen vinden die jouw bevindingen bevestigt?
 
Bartje Jansen

Bartje Jansen

12/10/2011 20:53:45
Quote Anchor link
Ozzie PHP op 12/10/2011 20:30:20:
@Bartje: heb je op internet ergens informatie kunnen vinden die jouw bevindingen bevestigt?

Daar heb ik niet naar gezocht, maar de ip-adressen zijn van Vodafone, Tmobile, KPN, etc. en het zijn de iPhone's, iPad's en Android-toestellen die hier gebruik van maken. Dat was voor ons voldoende om te stellen dat de ip-adressen wisselen bij 3G-netwerken.
Gewijzigd op 12/10/2011 20:54:16 door Bartje Jansen
 
- SanThe -

- SanThe -

12/10/2011 21:16:47
Quote Anchor link
Bartje Jansen op 12/10/2011 20:53:45:
Daar heb ik niet naar gezocht, maar de ip-adressen zijn van Vodafone, Tmobile, KPN, etc. en het zijn de iPhone's, iPad's en Android-toestellen die hier gebruik van maken. Dat was voor ons voldoende om te stellen dat de ip-adressen wisselen bij 3G-netwerken.


Ze wisselen vast wel, maar niet tijdens een verbinding. Dat zou dataverlies kosten.
 
Ozzie PHP

Ozzie PHP

12/10/2011 22:17:50
Quote Anchor link
Maar even wat anders... zijn ip-adressen van mobiele telefoons altijd wisselend? Wat ik bedoel... waar komd dat ip-adres vandaan. Kan het zo zijn dat wanneer SanThe en ik in dezelfde straat wonen en dezelfde provider hebben dat wij dan soms hetzelfde ip-adres hebben?

Waarom deze vraag? Nou stel dat iemand een hack poging doet via een mobiel apparaat en je blokkeert dat ip-adres... wiens ip-adres blokkeer je dan eigenlijk?

@Bartje: hoe heb je exact geconstateerd dat één sessie meerdere ip-adressen gebruikt?
 
- SanThe -

- SanThe -

12/10/2011 22:47:26
Quote Anchor link
Ozzie zoek eens wat info op over dhcp-servers. Dat zijn servers die, zodra er een machine zich aanmeldt op het netwerk, ip-nummers uitdelen. Ze doen dat uiteraard alleen vanuit de range die ze ter beschikking hebben. Het zou dus technisch kunnen dat iemand anders morgen met jouw ip-nummer aan het internetten is en dat jij een ander ip-nummer hebt.
 
Ozzie PHP

Ozzie PHP

12/10/2011 22:57:39
Quote Anchor link
@SanThe: dat wist ik niet. Is het dan ook een slecht idee om ip-adressen te blokkeren (in geval van een hack poging)?
 
- SanThe -

- SanThe -

12/10/2011 23:17:19
Quote Anchor link
IP Blocken heeft volgens mij nooit echt zin. Er zijn ook altijd nog de proxy servers waardoor jij niet eens weet welk ip nummer er achter zit.
 
Ozzie PHP

Ozzie PHP

12/10/2011 23:20:12
Quote Anchor link
Hmmm, ja... das waar... maar stel je hebt een heftige hackpoging vanaf een bepaald ip-adres... of vanaf een bepaald ip-adres wordt 3x een verkeerde inlogpoging gedaan... dan moet je zo'n ip-adres toch blocken? In ieder geval tijdelijk?
 
- SanThe -

- SanThe -

12/10/2011 23:21:42
Quote Anchor link
Dat kan. Maar meer dan tijdelijk zou ik persoonlijk niet doen.
 

Pagina: 1 2 3 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.