Hallo!

Wie kann man das machen, dass die Session-Datei, die von CGI::Session angelegt wird einen voom Programm festgelegten Namen (z.B. Session_Benutzername) trägt?

Grüße, pktm

Eventuell hilft dir das weiter:

Quote

      Naming conventions of session files are defined by
      $CGI::Session::Driver::file::FileName global variable.
      Default value of this variable is cgisess_%s, where %s
      will be replaced with respective session ID. Should you
      wish to set your own FileName template, do so before
      requesting for session object:

          $CGI::Session::Driver::file::FileName = "%s.dat";
          $s = new CGI::Session();

      For backwards compatibility with 3.x, you can also use the
      variable name $CGI::Session::File::FileName, which will
      override one above.

Das hatte ich auch geschrieben. Aber wo ist das Posting geblieben. Na ja. Pech gehabt.

Hm, nein, das hilft mir leider nicht weiter. Ich möchte, dass die vim Modul erzeugten Sessions genau so benannt werden, wie der Benutzername des Benutzers, der sich an meinem Script anmeldet. Also z.B. 'pktm'. Das wäre mir insofern recht, als dass ich so die ständige automatische Neuanlage von Sitzungsdateien unterbinden könnte.

Da würde ich aufpassen, da es die Sessionübernahme vermutlich vereinfacht...

[quote=renee,04.04.2006, 12:51]Da würde ich aufpassen, da es die Sessionübernahme vermutlich vereinfacht...[/quote]
Hallo Renee, vielleicht wäre das garnicht so schlecht. Da der
Benutzername eindeutig ist, kann eine Session nicht fälsch-
licherweise übernommen werden. Falls ein Benutzer gelöscht
wird, kann auch die Session-Datei entfernt werden.

Wenn jedesmal eine neue Session-Datei angelegt wird, dann
wird zwangsläufig auch das Dateisystem zugemüllt, oder
entfernt eine CGI Prozedur die unbrauchbaren Session-Dateien
automatisch?\n\n

<!--EDIT|opi|1144158147-->

Sieht bei mir nicht so aus, als ob das Modul da selbst aufraeumen wuerde. Zumindest nicht, wenn die Session ueber den Expire-Wert ausgelaufen ist. Mittels delete() kann man sie aber explizit loeschen.

[quote=nepos,04.04.2006, 15:56]Sieht bei mir nicht so aus, als ob das Modul da selbst aufraeumen wuerde. Zumindest nicht, wenn die Session ueber den Expire-Wert ausgelaufen ist. Mittels delete() kann man sie aber explizit loeschen.[/quote]
Aber gehen dann nicht eventuell wichtige Informationen
verloren? In einem Shop würde ich zum Beispiel in einer
Session abspeichern, für welche Produkte sich ein Kunde ganz
besonders interessiert hat. Bei der nächsten Anmeldung
erscheinen dann spezielle Angebote, für die er sich das letzte
Mal interessiert hat.

Diese Info's würden bei einer Neuanlage oder einer Löschung
der alten Session nicht mehr zur Verfügung stehen, oder?

@renee, mein Denkfehler! Du hast recht!

www.url.de?session=IrgendEinBekannterBenutzerName

und schon ist die Session übernommen.

Nun, das Sicherheitsrisiko ist wohl der Knackpunkt. Das kann man dann nur(?) (wie es bei mir jetzt auch geregelt ist) mittels htaccess-Files oder ähnliche Zugriffsberechtigungen schützen.