> >> 1. > >> wenn ich ein cookie ohne verfallsdatum setze, kommt dann > das gleiche > >> raus, wie bei session() ? > > CC> Nein... Dann legst du auch ein cookie an, das wie das > sessioncookie > CC> nur f�r die aktuelle session gilt, jedoch wird bei session() der > CC> wert nicht in ein cookie geschrieben... > CC> Die SessionID wird nur dazu benutzt um zu erkennen welche der auf > CC> dem server gespeicherten Sessions zum Surfer geh�rt... > > ...also k�nnen werte in ner session-variable nicht so ohne > weiteres manipuliert werden?
Nein... Man m�sste das sessioncookie auf eine andere gerade aktive sessionnummer setzen, um eine andere session zu entf�hren... sessionIDs lassen sich aber nicht erraten da sie wie zufallszahlen verteilt sind... > > >> 2. > >> wie kann ich ein cookie vor manipulation sch�tzen, bzw. > >> abpr�fen, ob ein wert im c. ge�ndert wurde? > > CC> Indem du z.B. die daten nochmal durch ne einwegfunktion jagst und > CC> das mit im cookie speicherst... > > CC> Wenn der quellcode offen ist und damit die einwegfunktion > auch, dann > CC> reicht das nicht... > CC> Aber du kannst z.B. einen zufallsstring pro User anlegen und dies > CC> zus�tzlich an die daten h�ngen bevor du die > einwegfunktion dr�berl�sst... > > was meinst du mit "einwegfunktion". hast du da nen simples beispiel? Also google w�r schneller gewesen... Eine einwegfunktion berechnet dir nen wert aus dem input, aus diesem wert l�sst sich aber nicht zur�ck auf den wert rechnen... Irgend ein hashalgorithmus tuts... MD5 oder SHA-1 oder .... Claudius _______________________________________________ Coffeehouse mailing list [EMAIL PROTECTED] http://www.glengamoi.com/mailman/listinfo/coffeehouse
