[PHP] Probleem met subdomein en php-sessie

vrijdag 21 oktober 2005 20:00

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik heb een hardnekkig probleem met PHP, een subdomein, en cookies (Sessie)

Probleem:
Elke keer als ik op sub.website.com inlog dan gaat mijn script na 1 actie alweer uitloggen
de sessie blijft niet behouden op een of andere manier. Ik heb van allerlei documentatie doorgelopen en onderzoek gedaan maar ben niet in staat het probleem te tackelen

De situatie is als volgt:
1 domein verder website.com
deze draait op webserver 1

1 sub domein sub.website.com
deze draait op webserver 2

op website.com draait alleen wat html ellende..
op sub.website.com draait een php script wat gebruik maakt van php sessies om een gebruiker in te laten loggen tot een beheerscherm.
Deze logt dus elke keer uit

als ik hetzelfde script benader via http://sub.website.com/script.php dan gaat het WEL goed en blijft hij ingelogt.

Waar zit dit probleem in en wat kan ik hiernaan doen?

vrijdag 21 oktober 2005 20:16

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Php

Je hebt toch geen frameset op je "gewone" domein dat verwijst naar je subdomein he?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

vrijdag 21 oktober 2005 20:19

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Php

Om de gebruiker te identificeren (achterhalen welke gegevens bij welke gebruiker horen) maken (php) sessies gebruik van cookies. Voor cookies zijn speciale toegangs restricties. Zo kan domeinA geen cookies opvragen van domeinB en kan domeinB ook geen cookies opvragen van sub.domeinB.

Ik denk echter niet dat hiervan sprake is. Waarvan wel sprake is, is waarschijnlijk dat je je php deel in een (i)frame draait. Wanneer je de inhoud van een (i)frame van een ander domein haalt, dan mag deze pagina geen cookies zetten of lezen.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

vrijdag 21 oktober 2005 20:28

Acties:

0 Henk 'm!

Eegee

Als het aan de frames ligt zoals -NMe- en Janoz zeggen, dan helpt het wellicht om een P3P header in je PHP-script te genereren, om je cookies te laten blijven staan. [search=frames p3p]

vrijdag 21 oktober 2005 20:48

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bedankt voor de reacties!
Er draait niks in een iframe.. alles draait gewoon vanaf de browser

De subdomeinen zijn in apache aangemaakt en dus echt 'hard' en niet via iframes of php scripts of andere trucjes..

het gekke is:
http://website.com/sub/script.php werkt prima

terwijl

http://sub.website.com/script.php niet werkt.

Ik heb het domein voor het script ingesteld op http://sub.website.com
toch logt hij elke keer weer uit nadat ik ben ingelogt, ik krijg het administratie scherm wel te zien maar als ik ergens op klik. pats!

vrijdag 21 oktober 2005 20:50

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Php

Linken je links op sub.website.com soms door naar website.com/sub?

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

vrijdag 21 oktober 2005 20:57

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Een voorbeeld van me apache config
hopelijk wordt het hiermee duidelijker
*genoemde namen zijn fictief

# ---------------
# login.website.nl
#----------------
<VirtualHost *>
ServerAdmin demo@website.nl
DocumentRoot /usr/local/apache2/htdocs/website/
ServerName login.website.nl
ServerAlias login.website.nl
ServerAlias http://login.websitecms.nl
ErrorLog /usr/local/apache2/logs/website_error_log
CustomLog /usr/local/apache2/logs/website_access_log combined
ScriptAlias /cgi-bin/ /usr/local/apache2/htdocs/website/cgi-bin/
ErrorDocument 404 /index.php?page=404
</VirtualHost>

het script draait op server2 in de directory /usr/local/apache2/htdocs/website/
Wat bedoelde je met het doorlinken? ik heb het script gelijk draaien in de bovenstaande directory
die direct linkt naar het subdomein. Oftewel, de index.php van het script opent gelijk als je sub.website.nl intypet.

De rest van de html en informatie draait op server1 op website.nl domein
website.nl domein staat ook gelinkt naar server1 in de DNS
sub.website.nl domein staat gelinkt naar server2 in de DNS

Het ligt mischien aan mijn script, want een ander pakket werkt wel feiloos met het inloggen etc, ook op het subdomein. Echter ik weet niet hoe ik dit op kan lossen in het script, mischien dat ik een stuk code kan posten voor het afhandelen van mijn cookie, dat daar een foutje in zit?
Ik zoek daarom allereerst een oplossing in de SERVER configuratie.

Let wel! het script draait prima
zolang het niet onder een subdomein draait.

Iemand suggesties, etc?
Dit is echt een hard problem to tackle

[ Voor 7% gewijzigd door Verwijderd op 21-10-2005 21:00 ]

vrijdag 21 oktober 2005 21:01

Acties:

0 Henk 'm!

Nijl

Eens een Nijl, altijd een Nijl

Verwijderd schreef op vrijdag 21 oktober 2005 @ 20:57:
Een voorbeeld van me apache config
hopelijk wordt het hiermee duidelijker
*genoemde namen zijn fictief

# ---------------
# login.website.nl
#----------------
<VirtualHost *>
ServerAdmin demo@website.nl
DocumentRoot /usr/local/apache2/htdocs/website/
ServerName login.website.nl
ServerAlias login.website.nl
ServerAlias http://login.websitecms.nl
ErrorLog /usr/local/apache2/logs/website_error_log
CustomLog /usr/local/apache2/logs/website_access_log combined
ScriptAlias /cgi-bin/ /usr/local/apache2/htdocs/website/cgi-bin/
ErrorDocument 404 /index.php?page=404
</VirtualHost>

het script draait op server2 in de directory /usr/local/apache2/htdocs/website/
Wat bedoelde je met het doorlinken? ik heb het script gelijk draaien in de bovenstaande directory
die direct linkt naar het subdomein. Oftewel, de index.php van het script opent gelijk als je sub.website.nl intypet.

De rest van de html en informatie draait op server1 op website.nl domein
website.nl domein staat ook gelinkt naar server1 in de DNS
sub.website.nl domein staat gelinkt naar server2 in de DNS

Het ligt mischien aan mijn script, want een ander pakket werkt wel feiloos met het inloggen etc, ook op het subdomein. Echter ik weet niet hoe ik dit op kan lossen in het script, mischien dat ik een stuk code kan posten voor het afhandelen van mijn cookie, dat daar een foutje in zit?
Ik zoek daarom allereerst een oplossing in de SERVER configuratie.

Let wel! het script draait prima
zolang het niet onder een subdomein draait.

Iemand suggesties, etc?
Dit is echt een hard problem to tackle

hoe zet je je cookie/sessies?

You are NIJL-ed!

vrijdag 21 oktober 2005 21:08

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ok nog wat meer informatie:
Ik zal de stukken code posten die zorgen voor het zetten van mijn cookie.
dus niet aansluitend dat is te onduidelijk maar gewoon stukjes onder elkaar die de cookie omvatten. Ik heb het script zelf ontwikkeld, de engelse texten zijn omdat ik altijd alles in engels werk:

Een cookie bevat o.a: gebruikersnaam, wachtwoord, etc

PHP:

                ini_set("session.cache_limiter",""); 
    session_start();
    ob_start();


// Is a user already logged in, or should we show the login screen?
    $auth = @$_SESSION["eauth"];
    $ToDo = @$_GET["ToDo"]; if(@$_POST["ToDo"] != "") { $ToDo = @$_POST["ToDo"]; }

    // What is the name of this script?
    $thisScript = @$_SERVER["PHP_SELF"];

    // Used to force restricted editing if an Editable Region template is being used in html page being edited
    global $ForceRestrictedEditing;

    // Type of template, i.e. DW 4.0 and below, or MX style editable regions
    global $TemplateMode;

    if($auth == "" && $ToDo == "")
    {
        // Show the login screen
        unset($_SESSION["eauth"]);
        $access = false;
        session_destroy();
        
        PrintPageHeader();
        Pass();
        PrintFooter();
        
        die();
    }
    else
    {
        // The user is already logged in, we will just grab their config data
        $userid = @$_SESSION["userid"];
        $loginname = @$_SESSION["loginname"];
        $loginpassword = @$_SESSION["loginpassword"];
        $ftphost = @$_SESSION["ftphost"];
        $ftpuser = @$_SESSION["ftpuser"];
        $ftppassword = @$_SESSION["ftppassword"];
        
        $startingdirectory = @$_SESSION["startingdirectory"];
        $fullurl = @$_SESSION["fullurl"];
        $imagedirectory = @$_SESSION["imagedirectory"];
        $templatedirectory = @$_SESSION["templatedirectory"];
        $maxfilesize = @$_SESSION["maxfilesize"];
        $maximagesize = @$_SESSION["maximagesize"];
        $editablefiletypes = @$_SESSION["editablefiletypes"];
        $filetypeinclude = @$_SESSION["filetypeinclude"];
        $imagefiletypes = @$_SESSION["imagefiletypes"];
        $linkfiletypes = @$_SESSION["linkfiletypes"];
        $defaultfileextension = @$_SESSION["defaultfileextension"];
        $hiddendirectories = @$_SESSION["hiddendirectories"];
        $noneditablefiletypes = @$_SESSION["noneditablefiletypes"];
        
        $tablebordersonbydefault = @$_SESSION["tablebordersonbydefault"];
        $outputxhtml = @$_SESSION["outputxhtml"];
        $absolutepaths = @$_SESSION["absolutepaths"];
        $allowcreate = @$_SESSION["allowcreate"];
        $allowcreatefolder = @$_SESSION["allowcreatefolder"];
        $allowcreateimagefolder = @$_SESSION["allowcreateimagefolder"];
        $allowdelete = @$_SESSION["allowdelete"];
        $allowdeleteimage = @$_SESSION["allowdeleteimage"];
        $allowrename = @$_SESSION["allowrename"];
        $allowrenameimage = @$_SESSION["allowrenameimage"];
        $allowcopy = @$_SESSION["allowcopy"];
        $allowcopyimage = @$_SESSION["allowcopyimage"];
        $allowupload = @$_SESSION["allowupload"];
        $allowuploadimage = @$_SESSION["allowuploadimage"];
        $restrictedediting = @$_SESSION["restrictedediting"];
        $altscriptname = @$_SESSION["altscriptname"];
        $alturl = @$_SESSION["alturl"];

        // General GET/POST variables
        $NewDir = @$_GET["NewDir"]; if($NewDir == "") { $NewDir = @$_POST["NewDir"]; }
        
        if($NewDir == "")
            $NewDir = @$_GET["newdir"]; if($NewDir == "") { $NewDir = @$_POST["newdir"]; }
        
        $bool_footer_error = @$_GET["bool_footer_error"]; if($bool_footer_error == "") { $bool_footer_error = @$_POST["bool_footer_error"]; }
        $CurrentDirectory = @$_GET["CurrentDirectory"]; if($CurrentDirectory == "") { $CurrentDirectory = @$_POST["CurrentDirectory"]; }
        $Currentimagedirectory = @$_GET["Currentimagedirectory"]; if($Currentimagedirectory == "") { $Currentimagedirectory = @$_POST["Currentimagedirectory"]; }
        $bool_from_image_dir = @$_GET["bool_from_image_dir"]; if($bool_from_image_dir == "") { $bool_from_image_dir = @$_POST["bool_from_image_dir"]; }
        $access = @$_GET["access"]; if($access == "") { $access = @$_POST["access"]; }
        $LicenseKey = @$_GET["LicenseKey"]; if($LicenseKey == "") { $LicenseKey = @$_POST["LicenseKey"]; }
        $str_message = @$_GET["str_message"]; if($str_message == "") { $str_message = @$_POST["str_message"]; }
        $icon = @$_GET["icon"]; if($icon == "") { $icon = @$_POST["icon"]; }
        $aaaaaaaqrkl = @$_GET["aaaaaaaqrkl"]; if($aaaaaaaqrkl == "") { $aaaaaaaqrkl = @$_POST["aaaaaaaqrkl"]; }
        $aaaaaaazbkx = @$_GET["aaaaaaazbkx"]; if($aaaaaaazbkx == "") { $aaaaaaazbkx = @$_POST["aaaaaaazbkx"]; }
        $fullPath = @$_GET["fullPath"]; if($fullPath == "") { $fullPath = @$_POST["fullPath"]; }

        // is the script name being reported incorrectly? If so, fix it
        if (@$altscriptname != "")
            $scriptName = $altscriptname;
        else
            $scriptName = @$_SERVER["SCRIPT_NAME"];

        if (@$alturl != "")
            $URL = $alturl;
        else
            $URL = @$_SERVER["SERVER_NAME"];
        
        if (@$docrootoverride != "")
            $docRoot = $docrootoverride;
        else
            $docRoot = $_SERVER["DOCUMENT_ROOT"];
        
    }

De functie verantwoordelijk voor het inloggen
en het setten van de cookie gaat zo:

PHP:

    function DoLogin()
    {
        global $thisScript;
        
        // Check the users login details against the dt_users table
        $userName = @$_POST["ezy_username"];
        $password = @$_POST["ezy_password"];

        // Are the login details complete?
        if($userName == "" || $password == "")
        {
            PrintError("Login","Zowel een gebruikersnaam en wachtwoord moet worden opgegeven", "");
        }
        else
        {
            // Check the user against the database
            $sConn = null;
            $dConn = null;
            
            GetMySQLConnection($sConn, $dConn);
            
            $userQuery = "select * from we_users where loginname = '$userName' and loginpassword = md5('$password')";
            $userResult = @mysql_query($userQuery);
            
            if(!$userResult)
            {
                // Er is een fout opgetreden tijdens trying to check login details
                PrintError("Interne Server Fout","Er is een interne database fout opgetreden. Klik svp <a href='javascript:document.location.reload()'>Klik hier</a> om het nogmaals te proberen.", "");
            }
            else
            {
                // Does this user exist in the database?
                if(@mysql_num_rows($userResult) == 1)
                {
                    $uRow = @mysql_fetch_array($userResult);
                    
                    // Is this user a client or admin?
                    if($uRow["isadmin"] == 1)
                        PrintError("Login fout","U heeft een ongeldige login en wachtwoord combinatie ingegeven", "");
                    
                    // Is this users account active?
                    if($uRow["isactive"] == 0)
                        PrintError("Login fout","Dit account is nog niet geactiveerd. Neem contact op met de beheerder van yourcms.", "");
                
                    // The user exists, let's setup their session variables, etc
                    $_SESSION["eauth"] = true;
                    
                    $hd = "";
                    $neft = "";
                    $eft = "";
                    $ift = "";
                    $lft = "";
                    $rd = "";
                    $sd = "";
                    
                    // Track this login in the we_log table
                    TrackLogin($uRow["pk_userid"]);

                    // Temporarily store the password in a session variable
                    @$_SESSION["tmppass"] = $password;
                    
                    // Set all variables as session variables
                    foreach($uRow as $key => $val)
                    {
                        if(!is_numeric($key))
                        {
                            eval("\$_SESSION[\"$key\"] = \"$val\";");
                            
                            if($key == "hiddendirectories")
                                $hd = $val;
                            
                            if($key == "noneditablefiletypes")
                                $neft = $val;
                            
                            if($key == "editablefiletypes")
                                $eft = $val;
                            
                            if($key == "imagefiletypes")
                                $ift = $val;
                            
                            if($key == "linkfiletypes")
                                $lft = $val;
                            
                            if($key == "rootdirectory")
                                $rd = $val;

                            if($key == "startingdirectory")
                                $sd = $val;
                        }
                    }
                    
                    $_SESSION["userid"] = $uRow["pk_userid"];
                    $_SESSION["hiddendirectories"] = @explode(",", $hd);
                    $_SESSION["noneditablefiletypes"] = @explode(",", $neft);
                    $_SESSION["editablefiletypes"] = @explode(",", $eft);
                    $_SESSION["imagefiletypes"] = @explode(",", $ift);
                    $_SESSION["linkfiletypes"] = @explode(",", $lft);
                    $_SESSION["startingdirectory"] = @ereg_replace("/$", "", str_replace("//", "/", "$rd/$sd"));
                    $_SESSION["realstartingdirectory"] = $sd;

                    // Remove the spaces from each hidden directory
                    if(is_array(@$_SESSION["hiddendirectories"]))
                    {
                        for($i = 0; $i < sizeof($_SESSION["hiddendirectories"]); $i++)
                            $_SESSION["hiddendirectories"][$i] = trim($_SESSION["hiddendirectories"][$i]);
                    }
                    
                    // Remove the spaces from each non-editable file type
                    if(is_array(@$_SESSION["noneditablefiletypes"]))
                    {
                        for($i = 0; $i < sizeof($_SESSION["noneditablefiletypes"]); $i++)
                            $_SESSION["noneditablefiletypes"][$i] = trim($_SESSION["noneditablefiletypes"][$i]);
                    }
                    
                    // Remove the spaces from each editable file type
                    if(is_array(@$_SESSION["editablefiletypes"]))
                    {
                        for($i = 0; $i < sizeof($_SESSION["editablefiletypes"]); $i++)
                            $_SESSION["editablefiletypes"][$i] = trim($_SESSION["editablefiletypes"][$i]);
                    }
                    
                    // Remove the spaces from each editable file type
                    if(is_array(@$_SESSION["imagefiletypes"]))
                    {
                        for($i = 0; $i < sizeof($_SESSION["imagefiletypes"]); $i++)
                            $_SESSION["imagefiletypes"][$i] = trim($_SESSION["imagefiletypes"][$i]);
                    }
                    
                    // Remove the spaces from each link file type
                    if(is_array(@$_SESSION["linkfiletypes"]))
                    {
                        for($i = 0; $i < sizeof($_SESSION["linkfiletypes"]); $i++)
                            $_SESSION["linkfiletypes"][$i] = trim($_SESSION["linkfiletypes"][$i]);
                    }
                    
                    // Does this user have FTP details setup? If not, redirect him to add them
                    if(@$_SESSION["ftpuser"] == "" || @$_SESSION["ftppassword"] == "")
                    {
                        header("location: $thisScript?ToDo=AddFTPDetails");
                    }
                    else
                    {
                        header("location: $thisScript?ToDo=PrintDir");
                    }
                }
                else
                {
                    // Gebruiker bestaat niet in de database
                    PrintError("Login","U heeft een ongeldige login en gebruikersnaam combinatie ingegeven", "", true);
                }
            }
        }
    }

Hopelijk dat het zo wat duidelijk wordt.
Bedankt.

[ Voor 16% gewijzigd door Verwijderd op 21-10-2005 21:10 ]

vrijdag 21 oktober 2005 21:39

Acties:

0 Henk 'm!

NMe

Quia Ego Sic Dico.

Php

Haal om te beginnen al die @'s eens weg en vang het al dan niet bestaan van die variabelen fatsoenlijk af met bijvoorbeeld isset. Op het moment kan er van alles mis zijn, maar dat krijg je niet te zien omdat je foutmeldingen onderdrukt worden...

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

vrijdag 21 oktober 2005 21:54

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

hoe zou ik dat het beste kunnen aanpakken?
Mischien iets debuggen met die cookies ?

vrijdag 21 oktober 2005 22:11

Acties:

0 Henk 'm!

prototype

Cheer Bear

Anders is je code even verbose zeg

. Dit kan je makkelijk refactoren naar iets dat MINSTENS de helft korter is. In het bijzonder doe je dit de heletijd:

PHP:

                    if(is_array(@A))
                    {
                        for($i = 0; $i < sizeof(A); $i++)
                            A[$i] = trim(A[$i]);
                    }

Waarbij A = $_SESSION[...]

vrijdag 21 oktober 2005 22:49

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ok
Ik zal het nog wat beter optimaliseren

Als ik dit doe:
php:

PHP:

 <? 
    session_start(); 
    ob_start(); 
    print_r($_SESSION); 
?>

uitvoer:
Array ( [eauth] => 1 [tmppass] => demodemo [pk_userid] => 4 [isadmin] => 0 [isactive] => 1 [isprofile] => 0 [lastaccessed] => 20051021205503 [loginname] => demo [loginpassword] => c514c91e4ed341f263e458d44b3bb0a7 [changepassword] => 1 [ftphost] => localhost [ftpuser] => website [ftppassword] => pass [rootdirectory] => [startingdirectory] => /demo [fullurl] => http://login.website.nl [imagedirectory] => /images [hiddendirectories] => Array ( [0] => ) [templatedirectory] => [maxfilesize] => 90000 [maximagesize] => 90000 [editablefiletypes] => Array ( [0] => htm [1] => html [2] => inc [3] => txt ) [noneditablefiletypes] => Array ( [0] => ) [linkfiletypes] => Array ( [0] => htm [1] => html [2] => txt ) [imagefiletypes] => Array ( [0] => gif [1] => jpg [2] => jpeg ) [filetypeinclude] => inc [defaultfileextension] => [spellchecklanguage] => dutch [singlelinereturn] => 1 [tablebordersonbydefault] => 1 [restrictedediting] => 0 [outputxhtml] => 0 [absolutepaths] => 0 [allowcreate] => 1 [allowcreatefolder] => 1 [allowcreateimagefolder] => 1 [allowdelete] => 1 [allowdeleteimage] => 1 [allowrename] => 1 [allowrenameimage] => 1 [allowcopy] => 1 [allowcopyimage] => 1 [allowupload] => 1 [allowuploadimage] => 1 [docrootoverride] => [altscriptname] => [alturl] => [userid] => 4 [realstartingdirectory] => /demo )

kenelijk staat er wel iets in mn sessie..
Hij logt ook 1x in maar als je ergens op klikt dan logt hij gelijk weer uit..
waarop verloopt hij elke keer dan?

na het klikken op een link in het admin scherm wordt me sessie dit:
Array ( )

waarom blijft hij niet ingelogt, ik kan er niet. ben al paar uur aan het lezen over sessies en cookies maar de echte oplossing blijft nog uit.
jorrie22 wijzigde dit bericht 21-10-2005 22:04 (20%)

[ Voor 9% gewijzigd door Verwijderd op 21-10-2005 22:49 ]

zaterdag 22 oktober 2005 00:44

Acties:

0 Henk 'm!

th3

ik heb niet het hele topic gelezen maar je kan met een INI setting je cookie domain op domain.com zetten.

code:

1
2
3

$strDomain = "domain.com";
ini_set('session.cookie_domain', $strDomain);
session_start();

ik hoop dat je hier iets aan hebt

edit: ter informatie, nu werkt dit koekje voor *.domain.com

[ Voor 22% gewijzigd door th3 op 22-10-2005 00:47 ]

zaterdag 22 oktober 2005 00:57

Acties:

0 Henk 'm!

KompjoeFriek

Statsidioot

Ik had bovenstaande iets anders opgelost:

PHP:

1	session_set_cookie_params(0,'/','.domain.com');

Maar komt op hetzelfde neer

WhatPulse! - Rosetta@Home - Docking@Home

zaterdag 22 oktober 2005 00:58

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bedankt voor de reactie
Ik had dit al eens geprobeert

maar mijn sessie is hierna ook gewoon weer leeg
heel vreemd

Iemand die nog een oplossing weet? of een manier hoe ik dit kan debuggen beter dan nu,
(print nu de cookie inhoud op scherm)

Onderwerpen