Problem mit Sessions

[freakXHTML]

Hallo zusammen,

ich arbeite gerade an einem LogIn-System. Sobald man sich erfolgreich authentifiziert hat, soll dies in einer Session gespeichert werden. Kritische Seiten sollen anschließend stets prüfen, ob die Session gesetzt ist. Nur falls dies der Fall ist, wird die Seite angezeigt. Leider funktioniert das nicht so ganz:

if($num > 0) { //Falls der Login richtig ist
        $_SESSION["logged_in"] = true; //ist man eingeloggt
        session_write_close();
        header('Location: html/welcome.php');
    }
    else {
        $_SESSION["logged_in"] = false;
        session_write_close();
        header('Location: html/denied.html');
    }

Nun fängt jede kritische Seite (zum Beispiel welcome.php) so an:

<?php
    session_start();
    if($_SESSION["logged_in"] != true)
        header('Location: denied.html');
?>

Ich kann jedoch auch welcome.php über die Adressleiste aufrufen, ob ich mich nicht eingeloggt habe. Warum?

Dass der eigentliche Login funktioniert (also richtig in if oder else oben gesprungen wird) habe ich nachgeprüft. Daran liegt nicht der Fehler.

Vielen Dank
LG, freakXHTML

 

[bdt600]

Nimm erst einmal das session_write_close raus und steht im login auch ein session_start?

 

[freakXHTML]

Hi.

ja, im Login steht auch ein session_start(). Ich habe gelesen, dass ich vor dem Weiterleiten auf eine andere Seite ein "session_write_close" setzten sollte.

Ich habe deinen Rat befolgt, aber leider funktionier es noch immer nicht.

Kann es sein, dass mein XAMPP irgendwie falsch konfiguriert ist?

 

[bdt600]

Dann solltest du das mal durchziehen:

Richtig debuggen

1. Man bemerkt, dass ein Skript nicht das tut, was es soll.
2. Man schreibt an den Anfang des Scriptes die Zeile: error_reporting(-1);
3. Man verwendet ini_set('display_errors', true); damit die Fehler auch angezeigt werden.
4. Man versucht, die Stelle die daran Schuld sein kann, schonmal einzugrenzen. Falls dies nicht geht, wird zunächst das komplette Skript als fehlerhaft angesehen.
5. An markanten Stellen im Skript lässt man sich wichtige Variableninhalte ausgeben und ggf. auch in bedingten Anweisungen eine kurze Ausgabe machen, um zu überprüfen, welche Bedingung ausgeführt wurde. Wichtig bei MySQL Fehlern (...not a valid MySQL result resource...): mysqli_error() verwenden oder Abfrage ausgeben und zb mit phpmyadmin testen.
6. Schritt 5 wird so lange wiederholt, bis Unstimmigkeiten im Skript auffallen
7. Damit hat man das Problem (Unstimmigkeit) gefunden und kann versuchen diese zu beheben. Hierzu dienen dann die PHP-Dokumentation und andere Quellen als Ratgeber.
8. Lässt sich das konkrete Problem trotzdem nicht beheben, kann man in Foren um Rat fragen.
9. Das Programm läuft und man kann die Debug-Ausgaben wieder entfernen.

 

[Alex55]

Hi, erstmal eine Frage, warum setzt du eine Sessions wenn der Login falsch ist?

Nun fängt jede kritische Seite (zum Beispiel welcome.php) so an:

<?php
    session_start();
    if($_SESSION["logged_in"] != true)
        header('Location: denied.html');
?>

Ich kann jedoch auch welcome.php über die Adressleiste aufrufen, ob ich mich nicht eingeloggt habe. Warum?

Benutze mal den Vergleichsoperator '!==', oder probiere mal isset (http://www.php.net/manual/de/function.isset.php), dafür musst du allerdings die 'fehlgeschlagen-Session' nicht setzen.

Lg

 

[Degers]

Hi!

Dein Skript ist wahrscheinlich schon funktionstüchtig, du hast nur einen Fall übersehen. Wenn sich eine Person gar nicht erst versucht anzumelden und eine Seite direkt aufruft, existiert die Variable $_SESSION['logged_in'] gar nicht, sie wurde gar nicht gesetzt. Theoretisch sollte das bei den richtigen Einstellungen eine Fehlermeldung werfen.
Eine Alternative wurde bereits genannt: Setz die Variable nur, wenn der login erfolgreich war und prüf das dann mit if (isset($_SESSION['logged_in'])) ab.

 

[majoversum]

Gibt doch einfach auf der welcome.php mal $_SESSION["logged_in"] aus... Ggf. funktioniert dein Logout ja nicht und die Session "lebt" weiter - du bist als weiterhin angemeldet.