Hallo,

gleich vorab: Ich habe vor 3 Tagen erst mit PHP angefangen also seid gnädig ;D Ich weiß, dass diese Fragen schon oft gestellt wurden aber dazu kursieren auch verschiedene Antworten im Netz. Jetzt zu meinen Fragen:

1. Ist es egal an welcher Stelle im PHP-Code ich eine Session starte ? Habe gelesen, dass es in der ersten Zeile gemacht werden muss oder dass sie vor allen echo ausgaben gestartet werden muss

2. Ich habe mehrere Funktionen in meinem PHP-Projekt(ist ein Loginsystem), indem ich bei einem geglücktem Login-Versuch eine neue Session erstelle. Muss ich jetzt in jeder Funktion in der Session-Spezifische Daten genutzt werden vorab einmal "session_start();" ausführen ? Habe bisher "bugs" bekommen wenn ich das nicht gemacht habe(ich wurde automatisch ausgeloggt wenn auf Unterseiten geprüft wurde ob die session gesetz wurde). Kommt mir aber komisch vor das jedesmal machen zu müssen

3. Wie gesagt erstelle ich bei einem erfolgreichen Login eine Session. Die ID dieser Session wird dann in einer MySQL-Tabelle gespeichert. Auf jeder Seite wird dann geprüft ob 1. Der User überhaupt eine offene Session hat und 2. Wenn er eine offene Session hat, wird die lokale PHPSESSID mit der Session-ID auf dem MySQL-Server verglichen. Sind sie unterschiedlich wird der Benutzer ausgeloggt. Vielleicht schwer zu beantworten, aber ist dieses System einigermaßen sicher ?


Danke für eure Antworten!

Grüße

1. session_start in die erste Zeile! Bevor überhaubt etwas kommt

2. Einmal reicht auch wenn deine funktionen aus anderen php dateien includet sind

3. Meiner Meinung nach würde es sogar reichen nur eine eineinmalige Session id dem Nutzer für diesen Login zuzuweisen diese auch in der session speichern und über diese den Nutzer zu identifizieren.


MFG

Zu 1: Bevor du irgendetwas ausgibst (mit Echo oder so) musst du die Session starten. Da werden nämlich die Headerinfos manipuliert und bekanntlicherweise kommen in einem HTTP-Response die Header-Daten vor dem Content.

Danke für eine Antworten!

Was stimmt denn nun ? Vor irgendwelchen ausgaben (bsp. "echo") oder die erste Zeile nach "<?php" ? Mir wäre es ganz recht wenn es nur vor echo-Ausgaben stehen muss ;D

Zu 2: Danke, habe meinen Denkfehler dadurch gefunden.

Es kann auch passieren das trozdem ein fehler kommt wenn der Editor aus irgendeinem Grund zb ein Leerzeichen etc. hinzugefügt hat.

MFG

Das "Problem" mit den Sessions ist nun auch beseitigt. Allerdings stehe ich jetzt vor dem nächsten Problem:

Ich habe eine Funktion("authRoutine") die auf jeder Seite ausgeführt wird auf der gesperrter Content zu sehen ist(also ein Login wird benötigt). Diese Routine prüft zuerst ob in der Session eine `userID` vorhanden ist, falls ja wird weiter die Korrektheit des Logins geprüft, falls die `userID` nicht vorhanden ist, wird man auf die index Seite weiter geleitet. Allerdings werde ich immer auf die index Seite umgeleitet obwohl der Login eigentlich korrekt ist. In der Session-Datei auf dem Server ist auch die `userID` gesetzt. Trotzdem kann ich mich nicht sichtbar anmelden(der MySQL-Server sieht mich als Eingeloggt an).

Hier mal der Code der authRoutine(hoffentlich ausreichend Kommentiert):



In Zeile 33 wird geprüft ob das aktuelle Dokument(dieses PHP-Script wird von der Seite included auf der geprüft wird, ob der Login akzeptiert wird) ungleich index.php ist. Ist es ungleich index.php heißt das, dass der User versucht hat auf gesperrte Seiten zuzugreifen und wird dann auf die index.php zurück geleitet.


Sieht jemand von euch den Fehler in diesem Script ?


Grüße


Edit: Problem gelöst. Mal wieder ein Flüchtigkeitsfehler der dann auch noch die ganze Zeit übersehen wurde