Cookies Und Session

Question 1

Frage

Answer 1

Antwort

Question 2

Was ist die PHP-Funktion setcookie()?

Answer 2

Die PHP-Funktion setcookie() wird verwendet, um Cookies auf dem Client zu setzen.

Question 3

Welche Parameter hat die setcookie()-Funktion?

Answer 3

setcookie() nimmt die Parameter Name, Wert, Verfallsdatum, Pfad, Domain, Verbindungstyp und httponly entgegen.

Question 4

Welcher Parameter ist bei setcookie() zwingend erforderlich?

Answer 4

Der Name des Cookies ist der einzige Pflicht-Parameter.

Question 5

Was bedeutet das Verfallsdatum eines Cookies?

Answer 5

Das Verfallsdatum gibt an, wann das Cookie ungültig wird. Es wird als Unix-Timestamp angegeben und oft als aktuelles Datum plus eine gewünschte Anzahl an Sekunden gesetzt.

Question 6

Welche Bedeutung hat der Pfad-Parameter bei setcookie()?

Answer 6

Der Pfad bestimmt, für welche Teile der Domain das Cookie gültig ist. ‘/’ bedeutet, dass es für die gesamte Domain gilt.

Question 7

Wann wird der Domain-Parameter bei setcookie() benötigt?

Answer 7

Der Domain-Parameter ist nur relevant, wenn das Cookie für Subdomains zugänglich sein soll.

Question 8

Was bedeutet der true-Wert beim Verbindungstyp-Parameter in setcookie()?

Answer 8

Ein true-Wert bedeutet, dass das Cookie nur über eine sichere HTTPS-Verbindung ausgelesen werden kann.

Question 9

Was bewirkt der httponly-Parameter bei setcookie()?

Answer 9

Wenn httponly auf true gesetzt ist, kann das Cookie nur über das HTTP-Protokoll ausgelesen werden und nicht über JavaScript (Schutz vor XSS-Angriffen).

Question 10

Ab welcher PHP-Version ist der httponly-Parameter verfügbar?

Answer 10

Der httponly-Parameter ist ab PHP 5.2 verfügbar.

Question 11

Warum sind Cookies sicherheitskritisch?

Answer 11

Cookies können sensible Daten enthalten. Ohne Schutzmaßnahmen wie httponly oder Secure-Flag könnten sie durch XSS oder MITM-Angriffe ausgelesen oder manipuliert werden.

Question 12

Wie kann PHP selbst gesetzte Cookies auslesen?

Answer 12

PHP kann Cookies über die superglobale Variable $_COOKIE auslesen.

Question 13

Wie ist die Struktur der $_COOKIE-Variable?

Answer 13

Die $_COOKIE-Variable ist ein assoziatives Array, das die Cookies als Key-Value-Paare enthält.

Question 14

Wie kann ein einzelnes Cookie ausgelesen werden?

Answer 14

Mit echo $_COOKIE[‘Cookie-Name’]; kann der Wert eines Cookies ausgegeben werden.

Question 15

Wie setzt man ein Cookie in PHP?

Answer 15

Mit setcookie(‘Geschmack’, ‘Chocolate-Chip’); wird ein Cookie mit dem Namen ‘Geschmack’ und dem Wert ‘Chocolate-Chip’ gesetzt.

Question 16

Wie kann man alle Cookies auslesen?

Answer 16

Mit einer foreach-Schleife: foreach ($_COOKIE as $key => $value) { echo ‘$key = $value’; }

Question 17

Warum sollte man prüfen, ob ein Cookie gesetzt ist, bevor man es ausliest?

Answer 17

Wenn das Cookie nicht existiert, führt der direkte Zugriff auf $_COOKIE[‘name’] zu einer Warnung. Die Funktion isset() sollte vorher geprüft werden.

Question 18

Wie kann man sicherstellen, dass Cookies nach dem Setzen sofort verfügbar sind?

Answer 18

Cookies sind erst in der nächsten Anfrage verfügbar. Man kann alternativ in der gleichen Sitzung eine Session-Variable setzen.

Question 19

Wie kann PHP verhindern, dass ein Cookie von JavaScript ausgelesen wird?

Answer 19

Mit dem httponly-Parameter in setcookie(), z. B. setcookie(‘name’, ‘wert’, time()+3600, ‘/’, ‘’, false, true);

Question 20

Wie kann PHP prüfen, ob ein bestimmtes Cookie existiert?

Answer 20

Mit isset($_COOKIE[‘name’]); kann überprüft werden, ob ein Cookie gesetzt ist.

Question 21

Welche Sicherheitsrisiken bestehen beim Umgang mit Cookies?

Answer 21

Cookies können durch XSS gestohlen oder durch Man-in-the-Middle-Angriffe manipuliert werden. Sicheres Setzen mit Secure- und HttpOnly-Flags ist wichtig.

Question 22

Was sind Sessions in PHP?

Answer 22

Sessions sind eine Methode, um Zustände (Session-Daten) serverseitig zu speichern.

Question 23

Wo werden Sessions gespeichert?

Answer 23

Sessions werden auf dem Server gespeichert, im Gegensatz zu Cookies, die im Browser des Clients gespeichert werden.

Question 24

Wofür wird ein Cookie bei Sessions genutzt?

Answer 24

Das Cookie dient nur zur Identifikation des Clients, speichert aber keine eigentlichen Sitzungsdaten.

Question 25

Wie lange bleiben Sessions normalerweise bestehen?

Answer 25

Sessions bleiben in der Regel bis zum Ende der Browser-Sitzung bestehen, es sei denn, sie werden manuell beendet oder eine andere Konfiguration ist gesetzt.

Question 26

Wie startet man eine Session in PHP?

Answer 26

Mit session_start(); wird eine neue Session gestartet oder eine bestehende fortgesetzt.

Question 27

Welche globale Variable wird für Session-Daten in PHP verwendet?

Answer 27

Die superglobale Variable $_SESSION wird verwendet, um Session-Daten zu speichern und abzurufen.

Question 28

Was passiert, wenn der Browser geschlossen wird?

Answer 28

Standardmäßig wird die Session beim Schließen des Browsers beendet, es sei denn, sie wird manuell oder über eine Konfiguration verlängert.

Question 29

Warum sind Sessions sicherer als Cookies für das Speichern sensibler Daten?

Answer 29

Sessions speichern die Daten serverseitig, während Cookies im Client-Browser gespeichert werden und somit anfälliger für Manipulationen sind.

Question 30

Wie kann man eine bestimmte Session-Variable setzen?

Answer 30

Mit $_SESSION['key'] = 'wert'; wird eine Session-Variable gesetzt.

Question 31

Wie kann man eine Session beenden?

Answer 31

Mit session_destroy(); wird die aktuelle Session gelöscht.

Question 32

Warum sollten PHP-Skripte die Inhalte von Cookies überprüfen?

Answer 32

Cookies können im Client manipuliert werden, daher müssen PHP-Skripte die Werte vor der Verarbeitung validieren.

Question 33

Wie funktionieren Sessions, wenn Cookies deaktiviert sind?

Answer 33

Sessions werden dann über die URL als Session-Name übergeben, was jedoch ein Sicherheitsrisiko darstellen kann.

Question 34

Was ist Session Fixation?

Answer 34

Ein Angriff, bei dem ein Angreifer einem Benutzer eine vorher festgelegte Session-ID unterschiebt, um sich nach der Anmeldung Zugriff auf dessen Sitzung zu verschaffen.

Question 35

Wie läuft eine Session Fixation-Attacke ab?

Answer 35

1. Angreifer generiert eine Session-ID. 2. Opfer klickt auf einen manipulierten Link mit dieser ID. 3. Opfer meldet sich an. 4. Angreifer kann die Sitzung übernehmen, da die ID bereits bekannt ist.

Question 36

Wie kann man sich gegen Session Fixation schützen?

Answer 36

Man sollte beim Login eine neue Session-ID generieren, z. B. mit session_regenerate_id(true);

Question 37

Welche Gefahr besteht, wenn Session-IDs in der URL übergeben werden?

Answer 37

Sie können von Dritten mitgelesen oder in Logs gespeichert werden, was das Risiko von Session Hijacking erhöht.

Question 38

Warum ist HTTPS wichtig für Sitzungen?

Answer 38

HTTPS schützt die Übertragung der Session-ID vor Man-in-the-Middle-Angriffen, die ansonsten abgefangen werden könnte.

Question 39

Wie kann PHP verhindern, dass Session-IDs über die URL übergeben werden?

Answer 39

Durch Setzen von session.use_only_cookies = 1 in der php.ini, sodass nur Cookies für Sessions genutzt werden.