$_Session escapen?

[aJunkie]

Hallo Forum,

ich schicke superglobale Arrays wie get, post und unset standardmäßig durch real_escape_string und so weiter.

Sollte man $_SESSION auch escapen?
Vorallem aber schon, wenn man zum Beispiel $_SESSION['string'] in die Datenbank eintragen will?
Sind Sessions von außen manipulierbar, dass man hierfür auch seine Aufmerksamkeit schenken sollte?

Danke.

 

[crash]

So gesehen, sind sie nicht gefährlich, da sie auf dem Server liegen und mit der Session-ID aus des Benutzers Cookies identifiziert werden. Wenn du sie mit User-Input fütterst sieht das natürlich anders aus. Grundsätzlich würde ich also schon real_escape_string benutzen, schon alleine, weil man auch selber Daten in einem Wert haben könnte, die du einem SQL-Fehler führen.

 

[Mr. Value]

@crash

Session stellen manchmal dennoch eine große Sicherheitslücke dar, siehe: Session Hijacking

Dass hat zwar nicht direkt was mit diesen Thema aktuell hier zu tuen, aber Session stellen dennoch eine potenzielle Gefahrenquelle da.

@aJunkie

Wieso möchtest du Variablen aus einer Session in die Datenbank eintragen? Geht es denn nicht mit kommerziellen Mitteln? Wenn es nicht anders geht, solltest du diese auch in jedem Fall dementsprechend prüfen.

Liebe Grüße Mr. Value

 

[aJunkie]

Okay Danke.

Ich speichere eine $_SESSION Variable, in der der Benutzername ist, welches ich beim Einloggen in die Datenbank eintrage, um nachvollziehen zu können, wann er (eigentlich nur ich, um zu schauen, dass sich kein anderer eingeloggt hat) sich eingeloggt bzw. ausgeloggt hat.

 

[sysop]

Ob man prüft oder nicht ist abhängig davon, WER die Varaible befüllt.
Ist das der Anwender muss man prüfen, bist es Du (also z.B. indem du die Variable in einem Script befüllst), gehe ich davon aus, dass Du Dich nicht selber abschiessen willst.

 

[aJunkie]

Nein, ich mich selbst nicht, aber will trotzdem andere davon fernhalten, falls sie irgendwie doch an meine Session rankommen.