Sessions mit UND ohne cookies

[Traenenblut]

Hi,

dies ist mein erster Post, da die Suche auch nicht das gewünschte hervorbrachte. Ich hab ein loginsystem gebastelt für ein webinterface, was mit sessions arbeitet. Vorraussetzungen waren:
Filebasiertes System ohne mysql.
Templategestützt: TBS hab ich genommen und darauf ist nun alles zugeschnitten.
Login über drei User: admin, user, support.

Also hab ich eine global.php gebaut, die alle configs anzieht das tbs aktiviert und eine session startet. Die Session wird dann ganz normal in cookies gespeichert. Wenn man nun aber cookies ausstellt im Browser, geht erwartend nichts mehr. Man wird immerwieder zur loginseite verwiesen.

Nun müsste hinter der URL eigentlich die session_id mit übermittelt werden, was auch toll ist, nur geschieht das nicht automatisch. Auch mit

PHP-Code:

    ini_set('session.use_trans_sid',1);
    ini_set('session.use_only_cookies',0);
    ini_set('session.cache_limiter',10);
    session_start(); 


wird die URL nicht erweitert und man kann sich nicht einloggen. Das System soll so funktionieren, dass ich cookies im browser an und ausstellen kann und trotzdem die möglichkeit besteht sich einzuloggen. Wenn username und pw richtig sind wird man per

PHP-Code:

header("Location: index.php");exit; 


zur Startseite zurückgesetzt, die anhand der session erkennt, das man eingeloggt ist und das webinterface includet und auswirft. Leider funktioniert das nicht, wenn cookies deaktiviert sind. Ein einloggen ist nicht möglich.

Leider muss das bis Montag fertig sein, deswegen wäre ich für Hilfe sehr verbunden.

Gruß
- Träne

[xabbuh]

Bei Weiterleitungen mit der Funktion header() musst du die Sessionid manuell übergeben. Dafür hängst du einfach die Konstante SID an die Adresse an, auf die weitergeleitet werden soll:

PHP-Code:

<?php
    header('Location: index.php?' . SID);
?>

[Traenenblut]

Wenn man die SID doch manuell vergeben muss, frage ich mich, wofür session.use_trans_sid da ist. Außerdem sollen SIDs nur übergeben werden, wenn der User Cookies deaktiviert hat. Ist das irgendwie möglich?

[xabbuh]

Zitat:

Zitat von Traenenblut

Wenn man die SID doch manuell vergeben muss, frage ich mich, wofür session.use_trans_sid da ist.

Bei "normalen" Links wird die Sessionid automatisch angehängt.

Zitat:

Zitat von Traenenblut

Außerdem sollen SIDs nur übergeben werden, wenn der User Cookies deaktiviert hat. Ist das irgendwie möglich?

Da die Konstante SID leer ist, falls das Cookie gesetzt wurde, sollte das kein Problem sein.

[Traenenblut]

Gut.
Das bedeutet arbeit. Ich denke ich werde da eine Funktion schreiben, die die SID automatisch anhängt und wenn in der alten URL schon ein Parameter übergeben wurde er die SID mittels '&' dranhängt, statt '?'.

Wie kann ich einen User jetzt noch nach 10 Minuten ausloggen? Mit Sessions ohne Cookies geht es.
Wenn Cookies jedoch gesetzt werden, wird er nie ausgeloggt(nur wenn der Browser geschlossen wird).
Auch nicht mit

PHP-Code:

    setcookie(session_name(), session_id(), time()+600); 


Gibts da irgendwelche specialtricks? ^^

[xabbuh]

Zitat:

Zitat von Traenenblut

Gut.
Das bedeutet arbeit. Ich denke ich werde da eine Funktion schreiben, die die SID automatisch anhängt und wenn in der alten URL schon ein Parameter übergeben wurde er die SID mittels '&' dranhängt, statt '?'.

Wofür brauchst du da eine Funktion? Ein paar Mal die Konstante SID anzuhängen ist wohl wesentlich unkomplizierte als eine Funktion dafür zu schreiben.

Zitat:

Zitat von Traenenblut

Wie kann ich einen User jetzt noch nach 10 Minuten ausloggen? Mit Sessions ohne Cookies geht es.
Wenn Cookies jedoch gesetzt werden, wird er nie ausgeloggt(nur wenn der Browser geschlossen wird).

Du kannst die Session mit session_destroy() zerstören.

[Traenenblut]

Zitat:

Du kannst die Session mit session_destroy() zerstören.

und woran erkenne ich, dass die 10 minuten rum sind um session_destroy auszulösen?

[xabbuh]

Zitat:

Zitat von Traenenblut

und woran erkenne ich, dass die 10 minuten rum sind um session_destroy auszulösen?

Dazu solltest du bei jedem Aufruf der Seite die aktuelle Zeit als UNIX-Timestamp in der Session speichern. Dann kannst du genau überprüfen, wieviel Zeit seit der letzten Aktion des Benutzers vergangen ist.
Außerdem kannst du natürlich in der php.ini den Wert für session.gc_maxlifetime auf 600 (600 Sekunden = 10 Minuten) setzen.