session_id() - Zufallszahl?

[SunnySideUp]

Hallo ans Forum,

ich habe eine generelle Frage: Wie (oder aus welchen Informationen) generiert sich die Zahl, die die session_id() darstellt?

...

und eine spezifische Frage:

Ich habe ein Login.php erstellt, das folgenden Code enthält:

Code:

session_start();
 
$ses = session_id();

$sql = "UPDATE $tabelle SET userSession = '$ses' WHERE userID = '$userID'"; 
mysql_query($sql);

Mit Logout.php beende ich die Session. Diese hat folgenden Code:

Code:

$sql = "UPDATE $tabelle SET userSession = NULL WHERE userSession = '$ses' LIMIT 1"; 
mysql_query($sql);

Ein paar Tests weiter und ein paar Blicke in die Datenbank weiter sagen mir, dass die Sessions ordnungsgemäß erstellt und wieder auf NULL gesetzt werden.

Die Datenbank ist so eingestellt, dass die userSession "unique" ist. So verhindere ich, dass die session_id für mehrere User die gleiche ist. Aber: Warum ist für jeden User beim einloggen die Session gleich?

Ich habe z.B. folgenden User: Admin; Passwort: isa. Das ergibt $ses=cb8b6daa9f9da24d9fc33b430affc6ed

Nach dem Logout ist dieser Wert NULL.

Nach erneutem Login ist die $ses die gleiche, wie zuvor. Das darf natürlich nicht sein. Wie kann ich für jede Session eine Zufallszahl erzeugen? Und warum geschieht das? Weiß das jemand?

[feuervogel]

Zitat:

Zitat von SunnySideUp

Hallo ans Forum,

ich habe eine generelle Frage: Wie (oder aus welchen Informationen) generiert sich die Zahl, die die session_id() darstellt?

was juckt dich das?

Zitat:

Mit Logout.php beende ich die Session. Diese hat folgenden Code:

Code:

$sql = "UPDATE $tabelle SET userSession = NULL WHERE userSession = '$ses' LIMIT 1"; 
mysql_query($sql);

nö. eine session wird mit

session_destroy();

beendet.

[SunnySideUp]

Zitat:

nö. eine session wird mit

session_destroy();

beendet.

Hmm. Dieser Begriff wird aber doch in der Regel in Verbindung mit einem Cookie angewandt, oder nicht? Ich arbeite mit einer Datenbank, in die die Session_id eingespeichert wird. Von dort muss ich sie auch wieder entfernen.

Habe ich hier einen Denkfehler?
Wenn ich ein login.php habe, in dem die session_id() erstellt und dann in die Datenbank abgespeichert wird, dann existiert sie ja nur noch in der Datenbank. Denn wenn ich in meinem logout.php

Code:

if(session_id())
  echo session_id();

abfrage, bekomme ich keinen Wert zurück. Der Wert, den die session_id() ursprünglich hatte, ist ja jetzt in der Variable $ses gespeichert und nur noch in der Datenbank enthalten.

Wenn ich nun mit einem logout.php, also einem neuen Dokument, die Session lösche, indem ich den Wert aus der Datenbank entferne, dann müsste doch die Session gelöscht sein? Wo sollte ich den sonst session_destroy() noch aufrufen? Es handelt sich ja nicht mehr um das gleiche Dokument. Oder habe ich da noch einen Schritt übersehen?

Zitat:

was juckt dich das?

Ganz einfach: Wenn ich weiß, wie was funktioniert, kann ich mich gedanklich darauf einstellen, wie ich damit umgehen muss. Deswegen wäre eine Antwort auf eine Frage, die durchaus ernst gemeint war, sehr nett.

[Opendix]

wie die erstellt wird kann dir echt egal sein *g*

was speicherst du den die session-id in der datenbank? :S

und eine session zerstörst du immer mit session_destroy() und nicht anders...

[feuervogel]

Zitat:

Zitat von SunnySideUp

Hmm. Dieser Begriff wird aber doch in der Regel in Verbindung mit einem Cookie angewandt, oder nicht? Ich arbeite mit einer Datenbank, in die die Session_id eingespeichert wird. Von dort muss ich sie auch wieder entfernen.

du hast anscheinend das prinzip von sessions nicht ganz verstanden.

man kann sich natürlich auch von hinten ins knie durch die brust in den kopf schießen, ob man danach tot ist, ist nicht geklärt.