session variable geht manchmal verloren

[sysop]

hallo zusammen.

folgedes script:
anmedeseite (inlude eines config-files in dem das passwort steht und md5 verschlüsselt wird) und verifikation des passwortes. bei erfolgreicher bestätigung wird der md5 schlüssel für das passwort in der variablen $_SESSION['passwd'] abgelegt und die start-seite (adr_main.php) wird geladen.

mittels switch springe ich verschiedene templates an, wo ich immer das config.file include und den dort erstellten md5 schlüssel mit der sessions-variablen vergleiche.

PHP-Code:

session_start();

include("config.php");

if($_SESSION['passwd'] != $passwort)
{
    die($lng['main']['noaccess']);
    exit;
} 


ein unset auf die session gibt es im script nicht, nur beim logout, wird natürlich bereinigt.

das ganze läuft auf zig apache-servern mit php 4.3.8 ohne probleme

nun mein problem.
die variable $_SESSION['passwd'] bleibt mir im script überall erhalten, es sei denn, ich lege neue daten an und refreshe den bildschirm automatisch mit diesem befehl:

Code:

?><meta http-equiv="refresh" content="0;URL=adr_main.php"><?

diese anweisung schliesse ich als reine fehlerquelle eigentlich aus, da ich die zeile noch an z anderen stellen des scripts verwende und dort keinerlei probleme habe.
da schon daten an den browser gesendet wurden, kann ich header befehl nicht verwendet (ich weiss, das ist noch nicht ganz sauber, aber es muss so ja auch gehen), was allerdings am fehler auch keinen unterschied machen würde, ich habe es probiert.
den einzigen unterschied den ich feststellen konnte war der, dass Server API dort wo es läuft auf Apache 2.0 Handler steht und dort wo ich probleme habe Server API auf CGI

was kann ich tun, um die fehlerquelle zu finden und natürlich um den fehler weg zu bekommen ??
error_reporting(E_ALL) gibt mir nichts aus, einzig die sessionsvariable ist weg.

danke

[Giz]

Zitat:

Zitat von sysop

...bei erfolgreicher bestätigung wird der md5 schlüssel für das passwort in der variablen $_SESSION['passwort'] abgelegt...

PHP-Code:

...
if($_SESSION['passwd'] != $passwort)
... 


Wie denn nun? $_SESSION['passwort'] oder $_SESSION['passwd'] ?

[sysop]

sorry, die variablen sind natürlich gleich, habe mich vertippt es heisst $_SESSION['passwd'].

[Giz]

ok.
Speicherst Du nur das Passwort in einer Session-Variable?! Fehlt vielleicht zwischendurch irgendwo ein session_start() ?
Ich weiß nicht, komme mit Deinen Informationen auch nicht weiter.

[sysop]

hallo

genau deshalb hier die frage, ich stehe wie der ochs vor dem tor.....

ein session_start() das fehlt, nein, alles was passiert wird über ein und das selbe script aufgerufen, also die adr_main.php. dort werden per switch die einzelnen schritte included.

da im adr_main script das session_start() steht, müsste das ja auch klappen (was es ja auch auf 98% der server tut). allerdings gibt es ab und zu mal einen server, wo die sessionsvar einfach verloren geht.

ich habe ein echo auf $_SESSION['passwd'] in der adr_main.php gemacht, nach genau dem html-refresh ist die variable weg, sonst ist sie da. da das session_start() in der adr_main.php steht, kann ich mir null reim drauf machen und weiss überhaupt nicht, wo ich ansetzen könnte. keine fehlermeldungen nix da zum greifen.

ps
ich gebe gerne jede info preis, nur weiss ich selber nicht genau, wo ich ansetzen soll und versuche das ganze zu leserlich als möglich zu beschreiben, sprich kurz.

[Small-Talk]

was passiert denn, wenn die Session-ID direkt angibst?

Code:

<meta http-equiv="refresh" content="0;URL=adr_main.php?PHPSESSID=<?php echo session_id(); ?>">

[sysop]

super, danke, das klappt !!

jetzt würde mich nur interessieren, wieso dort die session mit übergeben werden muss. wird das nicht automatisch von php gemanaged ?

[Small-Talk]

von php wird das nicht direkt gemanaged.
bei session_start() wird ein Cookie erstellt welches der browser beim klick wieder an den webserver übergibt. Wenn der Browser jetzt dieses Cookie nicht sendet hat php auch keine session-id mehr und generiert wieder eine neue.
Der IE hat in dieser hinsicht nen paar tücken (Microsoft nennt das sicherheit der privatsfähre ich nenn das schwachsin)

http://www.w3.org/P3P/

wenn du dir solch ein teil korrekt erstellst sollte der IE die die cookies richtig senden. -> Das ist aber ne wissenschaft für sich

[xabbuh]

Zitat:

Zitat von sysop

jetzt würde mich nur interessieren, wieso dort die session mit übergeben werden muss. wird das nicht automatisch von php gemanaged ?

In der php.ini gibt es die Konfigurationsdirektive session.use_trans_sid. Wenn diese deaktiviert ist, muss allen URLs, die auf Seiten in deinem Projekt verweisen, manuell die Sessionid angehängt werden.
Aber auch wenn session.use_trans_sid aktiviert ist, wird die Sessionid nur in den HTML-Element angehangen, die in url_rewriter.tags angegeben sind.

[sysop]

danke jetzt bin ich wieder um einiges weiter.