[PHP] Session probleem

zondag 17 november 2002 04:13

Acties:

0 Henk 'm!

Topicstarter

Ik heb een login systeem op m'n site die met sessions werkt

Nu heb ik verschillende onderdelen en elk onderdeel heeft zen eigen sub domein
dus bv: onderdeel1.domein.com, onderdeel2.domein.com

Als ik nu een sessie met user info op sub domein 1 opsla kan ik hem niet uitlezen op sub domein 2 en anderen alleen op sub domein 1.

Heeft iemand een idee hoe ik dit kan oplossen? of kan dit niet

www.dannyhiemstra.nl

zondag 17 november 2002 04:19

Acties:

0 Henk 'm!

Helox-in-a-box

huh?

draaien ze allemaal op dezelfde webserver? zou dan exchangable moeten zijn denkik... anders kan je login bewaren in een cookie en die weer inlezen bij het andere subdomein.

zondag 17 november 2002 04:26

Acties:

0 Henk 'm!

chuxiej

Topicstarter

ja die oplossing zou ook kunnen.
laat ik dat maar eens proberen dan.

En ja ze staan op 1 server

www.dannyhiemstra.nl

zondag 17 november 2002 04:31

Acties:

0 Henk 'm!

chuxiej

Topicstarter

Wat raar...
Ik save nu ook een cookie bij het inloggen en net als de sessions ziet de server de cookie niet als je hem via een andere sub domein probeert aan te vragen

www.dannyhiemstra.nl

zondag 17 november 2002 06:26

Acties:

0 Henk 'm!

Verwijderd

gebruik session_save_path in het begin van elke pagina.(voor als je in windows werkt)
gebruik $_SESSION['naam variabele'] (daar kan het ook nog wel eens aan liggen.)
Gebruik elke pagina session_start()

En uhm.. ik heb ook een login maar ik doe het met een simpele SQL database

zondag 17 november 2002 08:00

Acties:

0 Henk 'm!

simon

Ik zou je log in encrypted in een cookie opslaan en dan herinloggen door dus de hele ratteplan te doen als de cookie ontdekt wordt, behalve natuurlijk het encrtypten

zondag 17 november 2002 12:24

Acties:

0 Henk 'm!

CyberSnooP

^^^^ schrijft --->

FireFoxx schreef op 17 november 2002 @ 04:31:
Wat raar...
Ik save nu ook een cookie bij het inloggen en net als de sessions ziet de server de cookie niet als je hem via een andere sub domein probeert aan te vragen

Niet raar, maar policy

. Een browser besluit zelfstandig een cookie mee te sturen. Jij kunt echter bij het zetten van je cookie aangeven wanneer je hem terug verwacht. Als je niet specifiek aangeeft bij welk domein hij hem terug moet sturen neemt de browser je huidige domein. Om te voorkomen dat de browser per ongeluk (vertrouwijlijke) cookies naar een verkeerde site stuurt is het standaard domein dus het de gehele domein-definitie inclusief het huidige subdomein. Zet je je cookie dus vanaf sub1.domein.com dan wordt een cookie alleen gestuurd naar pagina's die staan op sub1.domein.com.

Zoals de manual page van SetCookie aangeeft is er een parameter domain mogelijk. Als jij die instelt op .domein.com besluit de browser de cookie mee te sturen voor alle subdomeinen.

Iets dergelijks geld voor paden, let ook daar even goed op!

[ Voor 0% gewijzigd door CyberSnooP op 17-11-2002 12:26 . Reden: verduidelijking ]

|_____vakje______|

zondag 17 november 2002 14:39

Acties:

0 Henk 'm!

Verwijderd

Je zou ook de sessie's op kunnen slaan in een database, kijk eens naar session_set_save_handler().

zondag 17 november 2002 14:56

Acties:

0 Henk 'm!

CyberSnooP

^^^^ schrijft --->

Verwijderd schreef op 17 November 2002 @ 14:39:
Je zou ook de sessie's op kunnen slaan in een database, kijk eens naar session_set_save_handler().

Daar ligt het probleem niet echt. Het gaat erom dat hij geen SessionID meer ontvangt waardoor de sessie verloren gaat. De cookie komt niet meer aan dus.

|_____vakje______|

zondag 17 november 2002 15:54

Acties:

0 Henk 'm!

chuxiej

Topicstarter

CyberSnooP schreef op 17 November 2002 @ 12:24:
[...]

Niet raar, maar policy . Een browser besluit zelfstandig een cookie mee te sturen. Jij kunt echter bij het zetten van je cookie aangeven wanneer je hem terug verwacht. Als je niet specifiek aangeeft bij welk domein hij hem terug moet sturen neemt de browser je huidige domein. Om te voorkomen dat de browser per ongeluk (vertrouwijlijke) cookies naar een verkeerde site stuurt is het standaard domein dus het de gehele domein-definitie inclusief het huidige subdomein. Zet je je cookie dus vanaf sub1.domein.com dan wordt een cookie alleen gestuurd naar pagina's die staan op sub1.domein.com.

Zoals de manual page van SetCookie aangeeft is er een parameter domain mogelijk. Als jij die instelt op .domein.com besluit de browser de cookie mee te sturen voor alle subdomeinen.

Iets dergelijks geld voor paden, let ook daar even goed op!

op php.net staat dit:

boolean setcookie ( string name [, string value [, int expire [, string path [, string domain [, int secure]]]]])

Maar als string domain zet ik gewoon een array met alle domeinen waar die hem uit 'mag' lezen?

www.dannyhiemstra.nl

zondag 17 november 2002 16:08

Acties:

0 Henk 'm!

chuxiej

Topicstarter

Als ik het via een array probeer kan het niet omdat setcookie een string verwacht en als ik het zo doe:

PHP:

1	setcookie ("MEMBER_ID", $ARRAY['id'], 31449600, "http://stats.chat-stars.com, http://web.chat-stars.com, http://tourney.chat-stars.com, http://www.chat-stars.com");

Geeft die geen errors maar ik kan hem niet uitlezen op een ander domein

www.dannyhiemstra.nl

zondag 17 november 2002 16:12

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

comon... RTF manual en reacties. Er staat toch dat je het subdomein weg moet laten?

PHP:

1	setcookie ("MEMBER_ID", $ARRAY['id'], 31449600, ".chat-stars.com");

is wat je zult moeten gebruiken. Dit kun je trouwens beter in je sessie instellen ipv een memberid cookie neer te zetten. Dat wordt natuurlijk wel heel makkelijk inbreken op die site dan

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

zondag 17 november 2002 16:29

Acties:

0 Henk 'm!

chuxiej

Topicstarter

sorry had ik over het hoofd gezien

Maar dankjewel!

www.dannyhiemstra.nl

Pagina: 1

Reageer

Onderwerpen