cookies löschen - bin ich zu doof?!

[kampfgnom]

Hallo,
ich zweifel gerade an mir selbst... Ich habe ein ogin script, welches auf wunsch Cookies setzt damit man sich später nicht nochmal einloggen muss.

Bei meinem Logout script lösche ich die Cookies und zerstöre die Session.
Aber irgendwie werden meine Cookies nicht gelöscht
Folgender Code:

PHP-Code:

    public function logout()
    {
        setcookie('login');
        setcookie('loginname');
        setcookie('loginid');
        session_destroy();
        
    } 


eimal so und ich habe es schon mit

PHP-Code:

    public function logout()
    {
        setcookie('login');
        setcookie('loginname', '', time()-100);
        setcookie('loginid', '', time()-100);
        session_destroy();
        
    } 


Was mach ich denn Falsch?
Achja, man wird nach dem Logout automatisch weitergeleitet (dokument wird verlassen) und der Pfad der Cookies ist "/".

[kampfgnom]

keiner ne Ahnung woran das liegt?

//Edit: Gut es geht, es lag daran, das ich in der Login klasse wo die login cookies gesetzt werden sollten, da wurden die cookies nicht gesetzt (durch ne falsche if abfrage) und wenn man sich ausloggte dann wurde natürlich wieder ein cookie gesetzt.

[Basti]

session_destroy() leert werder $_SESSION noch löscht es den Sitzungs-Keks. Das musst du selbst erledigen. Ein Beispiel findest du im Handbuch:

http://www.php.net/manual/en/functio...on-destroy.php

Am besten kapselst du das natürlich gleich in einem Session-Objekt.

Basti

[kampfgnom]

Naja ich machs immer so, das beim Logout meine Selbstgesetzen Cookies gelöscht werden, die Session mit session_destroy() zertsört wird und leite danach wieder auf die Hauptseite um.
Wenn man sich danach wieder einloggen will, ist das SESSION array dann lehr.

[Basti]

Das ist sehr fehleranfällig, denn diese "Regel", sofort nach dem Log-Out auch den Redirect zu machen musst du im Kopf haben. Es gibt keinen Code, mit dem das auch für die Zukunft gewährleistet werden könnte. Eventuell kommen irgendwann mal Funktionen dazu, die du vor jedem Skript-Ende oder Redirect durchführen möchtest (session_write_close() gehört übrigens immer vor einen Redirect, spielt hier aber ja keine Rolle) und da hast du leicht aus dem Blick verloren, dass die Daten in $_SESSION nicht mehr gültig sind. Macht ja auch keinen Sinn, veraltete/ungültige Daten im Speicher aufzubewahren. Daher besser gleich löschen, Session-Cookie löschen und Session-ID ändern (session_regenerate_id(true)).

Letzteres ist grundsätzlich bei jedem Start einer Session, sowie bei jedem Status-Wechsel (Log-In, Log-Out) angebracht (Stichwort: Session-Fixation).

Basti

[kampfgnom]

Heißt sozusagen, ich soll das komplette SESSION Array mit unset löschen und das SESSION COOKIE auch? und danach erst redirecten?

[Basti]

PHP-Code:

<?php

// log out

// Session muss natuerlich laufen
session_start();

// Session-Daten loeschen
$_SESSION = array();


// wenn die Session wirklich beendet werden soll:

if (isset($_COOKIE[session_name()]))
    setcookie(session_name(), '', time() - 42000, '/');

session_destroy();
header('Location: ' . $sAbsoluteUri);


// oder, wenn die Session weiter laufen soll und PHP >= 5.1:

session_regenerate_id(true);
session_write_close();

if (SID !== '')
    SID = strpos($sAbsoluteUri, '?') === false ? '?' . SID : '&' . SID;

header('Location: ' . $sAbsoluteUri . SID);

Basti

[kampfgnom]

Danke, das wusste ich gar nicht. Jedes Buch oder Tutorial was ich bisher gelesen habe macht es immer nur mit session_destroy();

Aber das werde ich gleich einbauen!
Danke!

grüße
Gabriel

[Basti]

Für PHP < 5.1 musst du die Daten halt noch explizit löschen, aber sieht ja nach einer Neuentwicklung aus und die wird ja sicher auf 5.2 laufen.

Basti

[Jann Hendrik]

@Basti: danke!

[Basti]

Hab oben noch die Session-ID angeklebt, falls kein Cookie gesetzt werden konnte. Hoffe das stimmt so in etwa.

Ich hab in meiner Session-Klasse noch ein @ vor session_destroy(), kann aber gerade nicht finden, wo ich mir das abgeguckt habe. Womöglich gibt es einen Fehler, wenn zwischen dem session_start() und dem session_destroy() ein anderer Prozess die Session-Datei löscht? Der Garbage Collector schaut sich ja die mtime der Dateien an und springt ja auch nicht bei jedem Request an. Auch kann es ja unterschiedliche Werte der Lebensdauer auf ein Verzeichnis geben.

Daher nochmal ein paar Tipps zum Umgang mit Sessions zusammengefasst:

- Verzeichnis immer explizit je Anwendung angeben. Das verhindert sowohl, dass andere Skripte die Session-Dateien bei einer dort geringer eingestellten Lebensdauer vorzeitig löschen und schützt die Dateien in einer Shared-Host-Umgebung natürlich vor dem Zugriff der anderen Kunden auf dem Server, der bei einem gemeinsamen /tmp-Verzeichnis durchaus möglich sein kann.

- Startzeit immer selbst speichern und Session ggf. selbst beenden/neu starten, wenn abgelaufen.

- Beim ersten Start der Session Session-ID wechseln.

- Bei jedem Statuswechsel Session-ID wechseln.

- Selbst bei session.trans-sid bei einem Redirect die Session-ID ggf. selbst anhängen, da absolute URIs ja nicht umgeschrieben werden (und Werte im Location-Header womöglich eh nicht, aber das weiß ich nicht auswendig).

- register_globals immer ausschalten, denn sonst überschreiben Variablen im globalen Namensraum automatisch Session-Variablen, wenn eine derart benannte Session-Variable existiert!

- session_regenerate_id() löscht nur die alten Session-Daten (z.B. Datei), wenn der erste Parameter auf true steht (ab 5.1), andernfalls selbst löschen!

- Das Speichern und Kontrollieren einer maximalen Gesamtlaufzeit einer Session kann zusätzliche Sicherheit bieten.

- Beim Kapseln der Session in einer Klasse dürfen die Daten natürlich nicht in $_SESSION gespeichert werden bzw. eben erst beim Speichern der Session, da sonst die Kapselung ja für den Arsch ist.

- Session-Dateien werden von dem Skript gesperrt, so dass ein explizites session_write_close(); bei Framesets, Weiterleitungen etc. Verzögerungen ersparen kann.

- Ein $_SESSION = $aArray; scheint Probleme zu machen. Es wird ein foreach($aArray as $sKey => $mValue) $_SESSION[$sKey] = $mValue; empfohlen.

Hoffe, das hilft dem einen oder anderen weiter. …wird wohl mal Zeit für ein kleines Tutorial.

Basti

[kampfgnom]

Danke Bast! Das sind ja ganz neue Welten, so hab ich mich damit noch gar nicht auseinandergesetzt! Vielen Dank!

[Jann Hendrik]

…wird wohl mal Zeit für ein kleines Tutorial.

Immer gerne gesehen!!!