:: Buchempfehlung ::

maiskolben · #1 22.12.2007, 12:14:20

Moin!

Es loggt sich jemand mit seinem Benutzernamen auf meiner Seite ein.
Jetzt wird gefragt ob eine Session-User-Id vorhanden ist, und dementsprechend werden Bereiche auf der Seite angezeigt, die nichteingeloggte Besucher nicht sehen können.

Soweit geil, beim ausloggen wird die Sesssion korrekt gelöscht.

Wenn man jetzt weitersuft wird viá $_GET auch keine Session-Id mehr mitvergeben,
aber nutzt man die Zurück-Funktion im Browser und gelangt auf die Seiten in denen man noch eingelogged war, wird die Sesssion-Id im Url wieder angezeigt...

Nun habe ich bisher noch nicht ausprobiert, ob die "nur eingeloggten"-Bereiche auch dann noch angezeigt werden wenn man bereits wieder ausgelogged ist...

Hat jemand Erfahrung damit?

x-plicit · #2 22.12.2007, 12:23:25

Wenn du die Session mit session_destroy(); killst, ist die sid ungültig.
Wenn du noch den Loginbereich siehst, können das auch Dateien aus dem Browser Cache sein.

#3 22.12.2007, 12:38:12

Zitat:

Wenn du die Session mit session_destroy(); killst, ist die sid ungültig.

Wenns men so einfach wäre...
Das Beispiel zu session_destroy() im Handbuch zeigt wie es gemacht wird.

Zitat:

können das auch Dateien aus dem Browser Cache sein.

Ja, das wird so sein! Wobei mich das allerdings etwas wundert, da die Sessionverwaltung normalerweise das Cachen unterbindet!

Zitat:

Wenn man jetzt weitersuft wird viá $_GET auch keine Session-Id mehr mitvergeben,

Das ist allerdings schon komisch....
Und die SID per url zu übergeben, ist auch nicht die schönste Variante. Hoffendlich hast du genug Vorkehrungen getroffen.......

Zitat:

aber nutzt man die Zurück-Funktion im Browser und gelangt auf die Seiten in denen man noch eingelogged war,

In dem Augenblick wäre spannend, ob du dann wirklich eingeloggt bist..
Was machts dann bei F5(reload)?

maiskolben · #4 22.12.2007, 12:54:44

Moin!
Nach einem reload der Seite werden tatsächlich keine Bereiche angezeigt die nur für eingeloggte Besucher zu sehen sein sollen...
Das ist gut, ich hab's grade ausprobiert...

Jetzt zu Muddern und alte Weihnachtslieder hören...

Vielen Dank für die schnellen Antworten!

Und ein frohes Fest für euch!

MfG maiskolben

meikel (†) · #5 23.12.2007, 09:21:25

Zitat:

Zitat von maiskolben

Hat jemand Erfahrung damit?

Sicher. Es gibt hinreichend genug versionsbedingte Tücken bei Deinem Verfahren.

Halte Dich beim Logout an folgendes Schema:

Bedingung:

Code:

register_globals = Off

PHP-Code:


			
<?php

# irgend was ohne echo <g>

$_SESSION = array(); # Session Array auf Null setzen

session_write_close(); # vorzeitiges Schreiben des Session Files mit dem Inhalt von $_SESSION

@session_destroy(); # versionsbedingter Versuch, die Session zu killen

header('Location: http://Hostname/scriptname.php'); # 

# irgend was ohne echo <g>

exit(); # da der Client weggeschickt wird, ist die Abarbeitung ddes restlichen Script sinnfrei

?>

maiskolben · #6 08.01.2008, 22:54:49

Danke Meikel,
ich verlasse beim logout das Script schon,
allerdings habe ich das Array nie auf 'null' zurückgesetzt!
Macht ja Sinn...

Bis den und frohes Neues übrigens! ;)

LG maiskolben

:: Buchempfehlung ::

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!