Durch Umstellung von PHP ist Script unbrauchbar!

[mtchris]

Hi Leutz,

ich beötige Hife. Komme nicht weiter.
Hatte ein Mitglieder-Login mit PHP-Session gebaut unter der PHP
Version 3.0.6. Durch unsere Serverumstellung wurde daraus die Version
4.3.3
Habe an dem Script bereits Stunden verbracht, aber es läuft einfach nicht.
Vielleicht könnt ihr mir helfen, hier mal das Script:

Durch ein Formular werden folgende Daten per <form method="post" action="login.php" target="_self">
type="password" name="userx
type="password" name="pwdx

--> LOGIN.PHP
<?php
$curdir = dirname($HTTP_SERVER_VARS["PHP_SELF"]);
if ($curdir == "/") { $curdir = ""; }
$userxf = $HTTP_POST_VARS["userx"];
if (file_exists("../../daten2/mdata/$userxf.pwl")) {
$tf = fopen ("../../daten2/mdata/$userxf.pwl", "r-");
$user = fgets ($tf,30);
$pwd = fgets ($tf,15);
$pwd = trim ($pwd);
$status = fgets ($tf,5);
fclose ($tf); }
else {
$log = date("d.m.Y") . " " . date("h:i:s A") . " USR WR" . " user: " . $HTTP_POST_VARS["userx"] . " pwd: " . $HTTP_POST_VARS["pwdx"] . " " . $REMOTE_ADDR;
$fw = fopen("../../daten2/mdata/log/reg.log", "a");
$log = $log . "rn";
fputs ($fw,$log);
fclose ($fw);
header("location: http://".$HTTP_SERVER_VARS["HTTP_HOST"].$curdir."/mlog.php?msg=User-Name oder Passwort nicht registriert!"); }
if (file_exists("../../daten2/mdata/$userxf.pwl") AND !isset($HTTP_POST_VARS["pwdx"]) OR $HTTP_POST_VARS["pwdx"] != $pwd){
$log = date("d.m.Y") . " " . date("h:i:s A") . " PWD WR" . " user: " . $HTTP_POST_VARS["userx"] . " pwd: " . $HTTP_POST_VARS["pwdx"] . " " . $REMOTE_ADDR;
$fw = fopen("../../daten2/mdata/log/$userxf.log", "a");
$log = $log . "rn";
fputs ($fw,$log);
fclose ($fw);
header("location: http://".$HTTP_SERVER_VARS["HTTP_HOST"].$curdir."/mlog.php?msg=User-Name oder Passwort nicht registriert!"); }
if (file_exists("../../daten2/mdata/$userxf.pwl") AND $HTTP_POST_VARS["pwdx"] == $pwd) {
session_start();
$log = date("d.m.Y") . " " . date("h:i:s A") . " accept" . " user: " . $HTTP_POST_VARS["userx"] . " pwd: " . $HTTP_POST_VARS["pwdx"] . " " . $REMOTE_ADDR;
$fw = fopen("../../daten2/mdata/log/$userxf.log", "a");
$log = $log . "rn";
fputs ($fw,$log);
fclose ($fw);
session_register("suserx","spwdx");
$suserx = $HTTP_POST_VARS["userx"];
$spwdx = $HTTP_POST_VARS["pwdx"];
header("location: http://".$HTTP_SERVER_VARS["HTTP_HOST"].$curdir."/main.php?sid=".session_id()); }
?>


danke
gruss chris

[xabbuh]

Zitat:

Mal ein Standardposting:
Vermutlich das:
Mit Version 4.1 wurde in PHP ein neues Sicherheitskonzept eingeführt, welches seit Version 4.2 standardmäßig aktiviert ist. Seit dem muss man alle übergebenen Variablen mit
$_GET['variable'] - für Urlparameter
$_POST['variable'] - für mit method=post versendete Parameter
$_COOKIE['variable'] - für Cookies
$_REQUEST['variable'] - $_POST, $_GET und $_COOKIE zusammen
$_FILES['variable'] - für hochgeladene Dateien
$_SERVER['variable'] - für Servervariablen (z.B. $_SERVER['PHP_SELF'])
$_ENV['variable'] - für Umgebungsvariablen
ansprechen. Also ehemals $str mit $_GET['str']
Oder Du setzt in der php.ini register_globals auf on. Davon rate ich aber ab

Wenn es daran nicht liegt, schreib mal eine etwas genauere Fehlerbeschreibung.

[mtchris]

Hi,
danke für deine Hilfe. Bin jetzt schon weiter gekommen.
Habe jetzt aber Probleme die Weitergabe von Variablen über Sessions.
Hier mein Code:

Auszug von login.php
<?php
session_start();
session_register("suserx","spwdx");
$suserx = $userx;
$spwdx = $pwdx;
header("location: http://".$_SERVER["HTTP_HOST"].$curdir."/main.php?sid=".session_id()); }
?>

Auszug von main.php
<?php
session_start();
$suserxf2 = $_SESSION["suserx"];

oder wie kann ich hier an die Variablen kommen? ($suserx und $spwdx)

DANKE

gruss chris

[xabbuh]

Du darfst nicht mit session_register arbeiten. Speichere die Variablen mit $_SESSION['var'] = $var in der Session.

[mtchris]

danke
habe aber immer noch ein Fehler drinnen:
Notice: Undefined variable: suserx in ... ...line 5


Auszug von login.php

$_SESSION["suserx"] = $userx;
$_SESSION["spwdx"] = $pwdx;


Auszug von main.php

session_start();
$suserxf2 = $suserx;

kann die Variable nicht finden
danke
gruss chris

[xabbuh]

Du musst natürlich auch auf die Variable in der Session zugreifen.

main.php:

PHP-Code:

<?php
    session_start();
    $suserfx2 = $_SESSION['suserx'];
?>

[meikel (†)]

Bitte die BB Tags verwenden

Zitat:

Original geschrieben von mtchris
Habe jetzt aber Probleme die Weitergabe von Variablen über Sessions.
Hier mein Code:

Auszug von login.php

Korrigiert (register_globals = Off):

PHP-Code:

<?php
session_start();
$_SESSION['suserx'] = 'spwdx'; # macht man jetzt so
$suserx = $userx;
$spwdx = $pwdx;
session_write_close(); # Session File schreiben
header('location: [url]http://[/url]'.$_SERVER['SERVER_NAME'] . 
  $curdir.'/main.php?'. session_name() . '=' .session_id());
exit; # Script beenden - der User is ja eh weg.
}
?>

main-php:

PHP-Code:

<?php
session_start();

print ('<pre>');
print_r ($_SESSION);
print ('</pre>');
?>

Beachte bitte das, wenn Du einen anderen Sessionnamen verwenden willst:
http://de3.php.net/manual/de/function.session-name.php

[mtchris]

Hi,
nochmals danke! aber es läuft einfach nicht.
Hier mal der ganze Quellcode:

<?php
settype($userx, "string");
settype($pwdx, "string");
include("../web/post_get.php");
$pwdx = $_POST["pwdx"];
$userx = $_POST["userx"];
$curdir = dirname($_SERVER["PHP_SELF"]);
if ($curdir == "/") { $curdir = ""; }
$userxf = $userx;
if (file_exists("../daten/mdata/$userxf.pwl")) {
$tf = fopen ("../daten/mdata/$userxf.pwl", "r-");
$user = fgets ($tf,30);
$pwd = fgets ($tf,15);
$pwd = trim ($pwd);
$status = fgets ($tf,5);
fclose ($tf); }
else {
$log = date("d.m.Y") . " " . date("h:i:s A") . " USR WR" . " user: " . $userx . " pwd: " . $pwdx . " " . $_SERVER["REMOTE_ADDR"];
$fw = fopen("../daten/mdata/log/reg.log", "a");
$log = $log . "rn";
fputs ($fw,$log);
fclose ($fw);
header("location: http://".$_SERVER["HTTP_HOST"].$curdir."/mlog.php?msg=User-Name oder Passwort nicht registriert!"); }
if (file_exists("../daten/mdata/$userxf.pwl") AND !isset($pwdx) OR $pwdx != $pwd){
$log = date("d.m.Y") . " " . date("h:i:s A") . " PWD WR" . " user: " . $userx . " pwd: " . $pwdx . " " . $_SERVER["REMOTE_ADDR"];
$fw = fopen("../daten/mdata/log/$userxf.log", "a");
$log = $log . "rn";
fputs ($fw,$log);
fclose ($fw);
header("location: http://".$_SERVER["HTTP_HOST"].$curdir."/mlog.php?msg=User-Name oder Passwort nicht registriert!"); }
if (file_exists("../daten/mdata/$userxf.pwl") AND $pwdx == $pwd) {
session_start();
$log = date("d.m.Y") . " " . date("h:i:s A") . " accept" . " user: " . $userx . " pwd: " . $pwdx . " " . $_SERVER["REMOTE_ADDR"];
$fw = fopen("../daten/mdata/log/$userxf.log", "a");
$log = $log . "rn";
fputs ($fw,$log);
fclose ($fw);
$_SESSION["suserx"] = $userx;
$_SESSION["spwdx"] = $pwdx;
header("location: http://".$_SERVER["HTTP_HOST"].$curdir."/main.php?sid=".session_id()); }
?>

und hier main.php
<?php
settype($sid, "integer");
settype($status, "integer");
include("../web/post_get.php");

$curdir = dirname($_SERVER["PHP_SELF"]);
if ($curdir == "/") { $curdir = ""; }
session_start();
$suserfx2 = $_SESSION["suserx"];
if (file_exists("../daten/mdata/$suserxf2.pwl")) {
$tf = fopen ("../daten/mdata/$suserxf2.pwl", "r-");
$user = fgets ($tf,30);
$user = trim ($user);
$pwd = fgets ($tf,15);
$pwd = trim ($pwd);
$status = fgets ($tf,5);
fclose ($tf); }
else {
header("location: http://".$_SERVER["HTTP_HOST"].$curdir."/mlog.php?msg=Vorgang fehlgeschlagen. Bitte einloggen!"); }
if (!isset($_SESSION["spwdx"]) OR $_SESSION["spwdx"] != $pwd){
header("location: http://".$_SERVER["HTTP_HOST"].$curdir."/mlog.php?msg=Vorgang fehlgeschlagen. Bitte einloggen!"); }
?>


danke

[xabbuh]

1. Setze PHP-Code bitte zwischen die [ php]- und [ /php]-Tags.

2. Rücke bitte deinen Code ein. Das fördert die Lesbarkeit enorm.

3. Beschreib mal ein wenig genauer, was jetzt noch nicht funktioniert.

[meikel (†)]

Zitat:

Original geschrieben von mtchris
nochmals danke! aber es läuft einfach nicht.

Eine genauere Fehlerbeschreibung, wenn Du Hilfe haben möchtest. Immerhin lieferst Du hier schlecht lesbaren und nicht kommentierten Quelltext ab.

Warum Du meinen Hinweis bezüglich header('Location: ...') und Session nicht beachtest, bleibt allerdings unerfindlich.