Sessions und die Zurücktaste - kreative Lösung gesucht!

**miximaxi** · 12.04.2006, 23:37

kreativ ists nicht. session_destroy.

**phpo** · 12.04.2006, 23:43

Original geschrieben von miximaxi
kreativ ists nicht. session_destroy.

Hi,
habe "session_destroy();" in die logout.php gepackt -
tja, das bringts auch nicht (habe es gerade getestet ) :-(

ich kann trotzdem per zurückbutton wieder zurück und kann den counter mittels reload hochzählen lassen :-( (bin also erfolgreich eingeloggt)

danke trotzdem für deinen beitrag

grüsse
phpo

**phpo** · 12.04.2006, 23:53

hmm sollte ich vielleicht hier mit der sessionid arbeiten?
also diese dann in der datenbank eintragen, wenn der user sich am anfang eingelogt hat. beim logout wird diese aus der datenbank entfernt.

aber ist das nicht etwas umständlich, wenn man die sessionid ständig per GET übergeben muss?

was meint ihr?

grüsse
phpo

**pippo** · 12.04.2006, 23:55

PHP-Code:


session_start();

if($_GET['exit']==1) {

$_SESSION = array();

session_destroy();

header("location: index.php"); //wieder einloggen

exit;

}

**miximaxi** · 13.04.2006, 00:09

Original geschrieben von phpo

danke trotzdem für deinen beitrag

grüsse
phpo

Also im manual nachlesen, was sonst noch unter session_destroy steht, wäre Dir schon angezeigt gewesen.

**jahlives** · 13.04.2006, 07:01

Das Problem dürfte sein, dass das Form beim Zurückbutton einfach nochmals versandt wird und wenn die Daten korrekt sind, dann ist man eingeloggt (works as designed). Könnte auch sein, dass beim Login ein Cookie für die Session ID verwendet wird und solange dieses vom Browser mitgeschickt wird, solange ist man eben eingeloggt.
Könnte man allenfalls so

PHP-Code:


ini_set('session_use_cookies',0);

vor dem session_start() unterbinden.
Du solltest den User nach dem Login aber mittels eines header() von der LoginSeite wegbringen (dann geht zumindest ein Refresh in die Hose

Gruss

tobi

**PHP-Boernie** · 13.04.2006, 07:59

Hmm wenn ich das eventuell richtig sehe gehst du diese Schritte durch:

index.php -> login.php -> aktualisieren für Zähler -> logout.php -> zurück Button des Browsers -> und wieder aktualisieren

Kann es sein das da ein Abfragefenster kommt in dem gefragt wird ob POST Variablen nochmal gesendet werden sollen?

**miximaxi** · 13.04.2006, 08:07

unter session_destroy steht ja, dass man das cookie löschen soll. Man kann auch eine neue session_id ziehen und nochmals session_start aufrufen.

PHP-Code:


  //das-hat-bei-mir-funktioniert

  $schritte=0;

  $_SESSION=array();

  session_destroy();

  session_start();

  session_regenerate_id('destroy_old_id');

**miximaxi** · 13.04.2006, 13:37

Original geschrieben von PHP-Boernie
Hmm wenn ich das eventuell richtig sehe gehst du diese Schritte durch:

index.php -> login.php -> aktualisieren für Zähler -> logout.php -> zurück Button des Browsers -> und wieder aktualisieren

Kann es sein das da ein Abfragefenster kommt in dem gefragt wird ob POST Variablen nochmal gesendet werden sollen?

Man kann im Formular ein hidden Input Feld mit einem unique Wert (zufall, timestamp, session_id) machen und sich diesen Wert serverseitig merken. Ist der Login erfolgreich (oder zuviele Versuche), löscht man bei sich den Wert. Gegen das erneute Absenden des Login-Formulars kann man nichts machen. Aber das Input-Feld passt dann nicht mehr zum serverseitigen Wert und man verarbeitet es nicht mehr.

**phpo** · 13.04.2006, 13:57

Hi zusammen,

Original geschrieben von pippo

PHP-Code:

session_start(); if($_GET['exit']==1) { $_SESSION = array(); session_destroy(); header("location: index.php"); //wieder einloggen exit; }

Das klingt gut. Bringt aber nix im Kontext des Problems (betätige mal den Zurückbutton des Browsers ;-) )

Original geschrieben von jahlives
Das Problem dürfte sein, dass das Form beim Zurückbutton einfach nochmals versandt wird und wenn die Daten korrekt sind, dann ist man eingeloggt (works as designed). Könnte auch sein, dass beim Login ein Cookie für die Session ID verwendet wird und solange dieses vom Browser mitgeschickt wird, solange ist man eben eingeloggt.
Könnte man allenfalls so

PHP-Code:

ini_set('session_use_cookies',0);

vor dem session_start() unterbinden.
Du solltest den User nach dem Login aber mittels eines header() von der LoginSeite wegbringen (dann geht zumindest ein Refresh in die Hose

Gruss

tobi

Ja, ok. Das Refresh ist ja nicht so wichtig. Denn dieses Skript dient mir nur als Model für ein kleines ManagementSystem mit MultiUser-Login. Wenn der User eingeloggt ist, dann bekommt er eben Seiten angezeigt, die andere und vor allem nichteingelogte User nicht zu Gesicht bekommen sollen. Refresh sollte er nicht vrewenden (ist auch unsinnig). Ausserdem werden die Daten automatisch aktualisiert.

Original geschrieben von PHP-Boernie
Hmm wenn ich das eventuell richtig sehe gehst du diese Schritte durch:

index.php -> login.php -> aktualisieren für Zähler -> logout.php -> zurück Button des Browsers -> und wieder aktualisieren

Kann es sein das da ein Abfragefenster kommt in dem gefragt wird ob POST Variablen nochmal gesendet werden sollen?

Der Dialog kommt, ja. Wenn man Cancel drückt, macht er aber nix (geht nicht zurück). Aber ein Depp, dem das egal ist (oder vielleicht beim Angriffsversuch durch einen Bot oder nen anderen User), der drückt ok und dang is er weiter.

Original geschrieben von miximaxi
unter session_destroy steht ja, dass man das cookie löschen soll. Man kann auch eine neue session_id ziehen und nochmals session_start aufrufen.

PHP-Code:

//das-hat-bei-mir-funktioniert $schritte=0; $_SESSION=array(); session_destroy(); session_start(); session_regenerate_id('destroy_old_id');

Ich werd das gleich mal ausprobieren, wobei ich eben nach mal session_destroy(); vor das session_start() gepackt habe und dann gabs ne Fehlermeldung ...

Original geschrieben von miximaxi
Man kann im Formular ein hidden Input Feld mit einem unique Wert (zufall, timestamp, session_id) machen und sich diesen Wert serverseitig merken. Ist der Login erfolgreich (oder zuviele Versuche), löscht man bei sich den Wert. Gegen das erneute Absenden des Login-Formulars kann man nichts machen. Aber das Input-Feld passt dann nicht mehr zum serverseitigen Wert und man verarbeitet es nicht mehr.

Ja genau! An sowas habe ich auch gedacht. Die Frage ist nur, ob es seitens PHP auch nicht etwas weniger umständlich geht.

Viele Grüsse
phpo

**miximaxi** · 13.04.2006, 18:59

Die Frage ist nur, ob es seitens PHP auch nicht etwas weniger umständlich geht.

Das ist nicht sehr umständlich. Es gibt zwei Varianten, sich das "serverseitig" zu merken. (a) mit einer Session-Variabeln. Die Session beginnt übrigens beim Aufruf des login-Formulars und geht bis zum logout (oder überhaupt ewig).
(b) ad-hoc mit einem Cookie, in welches der aktuelle hidden-wert gespeichert wird (bzw. gelöscht oder nichts, wenn kein hidden draussen ist). Bei einem go-back bekommt das php-Programm die alten Formulardaten inkl. hidden nochmals, aber trotzdem das neue Cookie, welches bei go-back nicht zurückgestellt wird..

Die kompliziertheit kommt einerseits von der state-losigkeit des Browsens, welche in eine statehaftigkeit verwandelt werden muss, und zweitens davon,dass der eigentlich sequentielle, pascal-artige Ablauf mit schönen while's (<-vor allem) bei jedem user-input gebrochen wird, und dafür braucht es auch die states und für jeden user-input-schritt einen eigene Zustandsnummer. Das ist noch nicht sehr gut in der Programmiertheorie ausgearbeitet (FSM), und entsprechend sehen die state-managements aus.

Sessions und die Zurücktaste - kreative Lösung gesucht!