Login übergibt die Session ID nicht

XantypiaxD

Hey.. langsam bin ich echt am verzweifeln..

Ich habe eine Site auf der man sich registrieren kann.

Mit dem registrierten Account kann man sich dann im Loginbereich anmelden..

Funktioniert auch..

Aber wenn ich mir die DB anschaue... ist die SessionID immer leer.. und wenn ich dann wieder ausloggen steht wieder NULL darin..

hier mein CODE:

Loginformular:

PHP

<?php
	error_reporting(6143); // ^= E_ALL

	include 'include/config.php';
	include 'include/sessionhelpers.inc.php';

	if (isset($_POST['login'])){
	$ID = check_user($_POST['Name'], $_POST['Password']);
    if ($ID!=false)
        login($ID);
    else
        echo '<p>Deine Anmeldedaten waren nicht korrekt! Versuche es erneut.</p>';
	}

	if(!user_online()){
	echo'
	<form name="login_window" method="post" action="index.php?site=login&action=main">
    Login
	  <table border="0">
    <tr>
      <td>&nbsp;ID:</td>
      <td><input type="text" name="Name"></td>
    </tr>
    <tr>
      <td>&nbsp;PW:</td>
      <td><input type="password" name="Password"></td>
    </tr>
    <tr>
      <td></td>
      <td><input type="submit" name="login" value="Login">&nbsp;<input type="reset" name="reset" value="Reset"></td>
    </tr>
    <tr>
      <td></td>
      <td><a href="index.php?site=reg">Registrieren</a></td>
    </tr>
  </table>
	</form>
	';
	}
	else{
	if(isset($_GET['action'])){

	if($_GET['action']=='main'){
	$sql_readout = "SELECT
					ID,
					Name					
					FROM
					user
					WHERE UserSession='".session_id()."'
					LIMIT 1;";
	$result = mysql_query($sql_readout) OR die(mysql_error());
	$row = mysql_fetch_assoc($result);
	$mypersonalid = $row['ID'];
	$mypersonalname = $row['Name'];

	echo '<p>Hey, '.$mypersonalname.' ! - <a href="index.php?action=logout">Logout</a></p>

     <table align="center" border="0">

      <tr>
        <td>Willkommen in deinem pers&ouml;nlichen Bereich.</td>
      </tr>
      <tr>
        <td><a href="index.php?action=main&site=pwnew">Passwort &auml;ndern</a></td>
      </tr>
      <tr>
        <td><a href="index.php?action=main&site=upload">Design uploaden</a></td>
      </tr>

     </table>

  ';
	}

	if($_GET['action']=='logout'){
	logout();
	echo "<meta http-equiv='refresh' content='0;URL=index.php?action=main'>";
	}

	}
	}
?>

Alles anzeigen

Hier die Sessionhelpers.inc.php

PHP

<?php
//sessionhelpers.inc.php
function connect()
{
    $con = mysql_connect(MYSQL_HOST, MYSQL_USER, MYSQL_PASS) or die(mysql_error());
    mysql_select_db(MYSQL_DATABASE, $con) or die(mysql_error());
}


function check_user($name, $pass)
{
    $sql="SELECT ID
    FROM hauswurzerkeutz.user
    WHERE Name='".$name."' AND Password = MD5('".$pass."')
    LIMIT 1";
    $result = mysql_query($sql) or die(mysql_error());
    if (mysql_num_rows($result)==1)
    {
        $user = mysql_fetch_assoc($result);
        return $user['ID'];
    }
    else
        return false;
}


function login($ID)
{
    $sql="UPDATE hauswurzerkeutz.user
    SET UserSession='".session_id()."'
    WHERE ID=".$ID;
     mysql_query($sql);
}


function user_online()
{
    $sql = "SELECT ID
    FROM hauswurzerkeutz.user
    WHERE UserSession='".session_id()."'
    LIMIT 1";
    $result = mysql_query($sql);
      return (mysql_num_rows($result)==1);
}


function logout()
{
    $sql="UPDATE hauswurzerkeutz.user
    SET UserSession=NULL
    WHERE UserSession='".session_id()."'";
     mysql_query($sql);
}


connect();
?>

Alles anzeigen

in der config.php befinden sich nur die Daten zur DB..

Kann mir bitte jmd. helfen? komme echt nicht weiter

Tobse

Also, ich denke $_COOKIE['PHPSESSID'] wird enthalten,w as du suchst und noch was:

PHP

MD5('".$pass."')

Die Funktion ist zwar gut und schön, jedoch kann man dadurch ein PW entschlüsseln, für standard MD5 hashs gibts Rainbow Tables. Ich würde daher das ganze mit PHP und einem $salt machen

PHP

"WHERE password = '".md5($pass, $salt)."'"

und wenn du 100%ig sicher sein willst, das dein Passwort so schnell nich geknakt wird, kannst du es auch VOR dem versenden durch den Browser mit JS verschlüsseln und dann auf dem Server via PHP nochmals nen MD5 drauf anwenden, nen doppelhash also. Das musste aber beim registrieren auch beachten.

XantypiaxD

könntest du mir bitte den konkreten Befehl angeben..

bzw. wo er hin kommt?

Danke

jojo87

überprüfe deine Querys mit

PHP

myslq_query($sql) or die(mysql_error());

Vermutlich liegt da der Hase begraben.
Ansonsten kannst du auch einfach konsequent sein und
http://php.net/session_set_save_handler
nutzen

Tobse

PHP

function check_user($name, $pass) {     $pass=md5($pass); /// ÄNDERUNG    $sql="SELECT ID     FROM hauswurzerkeutz.user     WHERE Name='".$name."' AND Password = '".$pass."'     LIMIT 1";     $result = mysql_query($sql) or die(mysql_error());     if (mysql_num_rows($result)==1)     {         $user = mysql_fetch_assoc($result);         return $user['ID'];     }     else         return false; }

In diesem fall müsstes du z.B. in jede PHP-Datei mit datenbankverbindung sowas includen

PHP

$db=null;$host="localhost";$user="root";$pw="";$base="";$salt="iqpiduöajfösfioeqw";function connect() {    $db=new mysqli($host, $user, $pw, $base);}function disconnect() {    if ($db!=null) $db->close();    $db=null;}

Dann hättest u immer ne DB-Connection bereit und das Salt überall verfügbar.

XantypiaxD

Funktioniert immer noch nicht richtig..

Könnte mir jemand von euch vllt ein Link zu nem Script geben,

wo ich ein Loginbereich, angefangen von der DB Verbindung bis zum Logout, finde ?

Danke

Tobse

Dashier hab ich mal geschreiben, war mein erstes Tut, soll auch ein Tutorial sein, kein fertiges Script. Einfach lesen, nachvollziehen und dann versuchen, es selbst zu schreiben. Wenn des klappt, müsste login/logout kein Prob. für dich sein.
http://www.supernature-forum.de/tutorials-and-…erungsmail.html

P.S.: Ja, in dem Tut hab ich die Sicherheit aussen vor gelassen, sollte übersichtlich werden. Wie du das aber dann einbaust, weisste ja jetzt

jojo87

jetzt wirf doch nicht gleich das Handtuch!
Dein script ist doch an sich ganz in Ordnung,
und Debuggen gehört zum Programmieren dazu.
Ich häng manchmal Tage an eigentlich winzigen Problemen, so ists halt.
Fang einfach an, isoliere die Stelle, die nicht funktioniert (das hast du ja schon).
Jetzt lässt du dir über var_dump oder ähnliches die Variablen ausgeben und schaust, ob die stimmen, zusaätzlich noch die Query-fehler abfangen, wie von mir oben beschrieben, dann kommst du dem Fehler schnell auf die Schliche.

Tobse: Deine Hilfsbereitschaft in allen Ehren, aber du redest am Problem vorbei! Salting hat nichts mit seinem Fehler zu tun, und dann auf dein Tutorial zu verwiesen, wo am Ende nichts anderes rauskommt, als er schon hat, ist auch nicht sonderlich hilfreich.

Tobse

Er wollte ja ein tut xD, Also is mir das eingefallen ;P
Wie ich vom Salting angefangen hab, dachte ich, die eigentliche Funktion des Logins hätte sich jetzt erledigt ud wprde funktionieren.
und sorry für des OT zeug.

XantypiaxD

Trotzdem Danke an Tobse =)

Also.. ich denke dass es daran liegt, dass ich keine SessionID definiert habe?!

Tobse

Nunja, du kannst ja einen individuellen Wert über $_SESSION['id']="foo"; machen, aber die tatsächliche Session ID steht in $_COOKIE['PHPSESSID'];

Grevas

Ohne session_start(); kann es auch keine ID geben.

XantypiaxD

Ich habe ja schon gesagt, dass wenn ich session_start(); eingebe... headers already send.. kommt

Grevas

Das bedeutet aber nicht, dass die Session bereits gestartet wurde oder? ;P

D.h. nur das davor bereits ausgabe stattfindet. Musst die Session eben vorher starten.
Und ich hab den Thread nach "session_start" durchsucht und nichts gefunden.

jojo87

Zitat von XantypiaxD

Ich habe ja schon gesagt, dass wenn ich session_start(); eingebe... headers already send.. kommt

Also wirklich, hättest du das vorher gesagt, dann hätten wir dir sofort gesagt, dass DAS dein Problem ist

Die Session kann nicht gestartet werden, wenn bereits eine Ausgabe an den Browser gesendet wurde. Das kann auch nur ein Leerzeichen oder html-tag sein.
Stelle sicher, dass überall, wo die Session genutzt wird, als allererstes

PHP

session_start();

in der ersten Zeile steht.
Oder du nutzt die php.ini einstellung session.autostart

XantypiaxD

http://www.supernature-forum.de/tuto...rungsmail.html

Funktioniert alles soweit.. aber es sagt mir jedes mal wenn ich mich anmelden will: Falsches Passwort..

?!

Bandit

Der erste Kommentar dort ist gleich der richtige dazu:

Zitat

Tut mir Leid aber dieses Script ist so nicht wirklich zu gebrauchen.

Ein ganz simples Beispiel:

PHP

<?php


    session_start();

    $errorText = "";

    if (isset($_POST['user']))
    {
        if ($_POST['user'] == 'lerne' && $_POST['password'] == 'Grundlagen')
        {
            $_SESSION['vorgekaut'] = true;
            header("Location: nextpage.php");
            exit();
        }
        else
          $errorText = "Invald data";

    }

    echo $errorText;
?>
<br />
<form method="post" action="<?php echo $_SERVER['SCRIPT_NAME']; ?>">
User: <input type="text" name="user" /><br />
Passwort: <input type="password" name="password" /><br />
<input type="submit" name="submit" value="Einloggen" />
</form>

Alles anzeigen

PHP

<?php
    // nextpage.php
    session_start();

    if (isset($_SESSION['vorgekaut']))
       echo "Alles Paletti";
    else
       echo "Du nicht";
?>

Login übergibt die Session ID nicht

Tags

Benutzer online in diesem Thema