[Naljatilk]

Koostan oma kodulehe jaoks admin-ala ja foorumilaadse asjanduse autenteerimist ega saa sisselogimisel php sessioonidest jagu. Lihtsalt ei saa neid tööle, kuigi olen juba kümme tundi vähemalt lugenud igasugu sellealaseid abimaterjale ja niisama katsetamisega üritanud neid tööle saada. Kõik tundub olevat nii, nagu peab: info saadetakse enne header faile, aga ikkagi ei registreeri see neid ära.

Ma võiksin loomulikult minna kergema vastupanu teed ja kasutada tasuta CMS-i ja foorumit, aga esmalt leidsin, et kogemus on tähtsam, lisaks meeldib kõik oma käe järgi mugavaks muuta. Nüüd on asi juba isiklik ning ma ei anna alla enne, kui olen sellest jagu saanud.


See on siis loga.php fail, mis käivitatakse pärast login-i:

[andrusny]

[Naljatilk]

[andrusny]

Pane session_start(); esimesele reale, mis siin mõistmatut on?

[e-Thug]

mis soovitusi sul veel vaja on, nagu andrusny juba ütles, siis session start peab olema kohe kõige alguses

[maxorator]

Zone tasuta hostingus ei saa sessioone kasutada.

[inzinz]

Saab ikka kasutada, aint et tuleb ise teha, huvi pärast proovisin järgi ka ja tulemus:

Näidiskood (testitud ja töötab) üleval http://web.zone.ee/inzinztest/sess.phps
Kasutamise näidis http://web.zone.ee/inzinztest/index.phps

Et jooksmas näha siis vaata http://web.zone.ee/inzinztest/
Esmasel kuvamisel peaks väljastama Array()
Ja peale refreshi peaks kuvama Array ( [test] => oled juba lehte vaadanud ) mis näitab et kõik töötab.

Tuleb meeles pidada teha sessions kaust samasse kausta kus sul sess.php fail on ning rangelt soovitan sinna sessions kausta teha ka .htaccess faili mille sisu on:
deny from all

Ja siis enda koodis sessiooni alustamiseks kutsu välja funci session_start_();

[andrusny]

Oot, ma viskasin kiiruga pilgu peale, ma võin küll eksida, kuid sa lihtsalt kirjutad need värgid, mis sesioni lähevad faili aga seda php sessioni sa ei kasuta ju? Kuid sellisel juhul sa kül võid nimetada seda sessioniks, kuid ta ju ikkagi pole see, mis siis , et täidab ja teeb täpselt sama. Session on ikkagi üks kindel php func.

[inzinz]

No kui see oleks zone tasuta hostis kus on session_start kinni keeratud (ja üldse kogu session extension), siis ainus võimalus saada sessioone kasutada on miskit taolist mis ma tegin:
ise tehtud func mis teeb setcookie, avab sessiooni faili, täidab $_SESSION sisu ja paneb locki peale failile ning peale koodi lõppu kirjutab $_SESSION sisu uuesti faili. Lisaks veel jooksutab 1% juhul sessiooni kausta cleanupi ka.

Sry et ei lugenud mis ja kus täpsemalt, see link jäi kahe silma vahele.

Sellisel juhul pakun et probleem on whitespaces, täpsemalt ftp uploadiga/downloadiga juurde tekkivates reavahetustes failide lõpus peale ?> märke, mis segavad session_start käsul cookiesid panna.
Hetkel seal lehel käies ei tekkinud browserisse mitte ühtegi cookiet igatahes.

Sellisel juhul minupoolne soovitus on muuta loga.php ja üleüldse kõiki teisi faile ka nii, et esimesed read oleks:

[Naljatilk]

Tänud selgituste eest, muutsin kõik nii, aga hetkel veel tööle ei saanud. Räägin täna koolis informaatika õppejõuga, vaatab, kas ta murrab läbi, milles minu puhul probleem seisneb.

[inzinz]

Kui sul seal hetkel suurt midagi salajast ei ole ning ftp kaudu ainult lehe kaustale ligi saab, siis võid privas mulle infi saata ja ma saaks kohe sealsamas uurida ja testida milles probleem on.

Mis siis saab kui kohe algusesse peale <?php rida paned:
error_reporting(E_ALL);
ini_set('display_errors', 1);

Kas siis väljastab mingit lisainfi errorite kohta või endiselt täielik vaikus ?

EDIT:
Uurisin, loga.php saadab cookie välja ilusti ikkagi, mujal lehtedel ei kuvata kuna mujalt pole session starti.
ESITEKS sa pead session_start(); panema IGASSE faili kus tahad $_SESSION muutujaga midagi teha, kaasa arvatud logn.php faili algusesse.
Kui sa ei tee session_start(); siis $_SESSION massiivi üldse ei tehtagi ja kogu kontroll isset($_SESSION[$kood]['user']) on täiesti mõttetu kuna $_SESSION muutujat ei ole olemas.
Lisaks, kas tohib küsida misasi see $kood = md5($_POST['user'].microtime(true)); seal teeb ? Mis eesmärki ta üritab täita ?
Sa oled sessioonidest väääga valesti aru saanud ikka ma vaatan.
See $_SESSION muutuja/massiiv ongi juba ainult selle kasutaja põhine kes sinu lehte vaatab, sa ei pea seal ise leiutama mingeid keerukaid üleliigseid asju et $_SESSION muutujasse tekitaks alam massiivi mille võtmeks on kasutaja id + praegune aeg suure täpsusega, kuna _SESSION massiiv mida sina näed juba ONGI sellise funktsionaalsusega, et on ainult selle ühe kindla kasutaja põhine. Kui mina tulen lehele on minul üks _SESSION massiiv ja kui sina tuled lehele on sinul teine _SESSION massiiv.

Võta ja loe siit kogu info läbi ja siis proovi uuesti, ehk teisel katsel saad hakkama paremini juba http://ee2.php.net/session

[karu]

[Naljatilk]

Sain sessioonid tööle, kui on soovi koodile näpud taha saada, saatke PS, ei ole kade.
Praegu jamad md5 hashiga (ja ka sha1 häshiga) - ükskõik, mis parool sisestada on tulemus üks ja see sama, aga arvan, et see on serveri viga. Üldiselt on tegemisi veel küllaga.

Suured tänud kõigile, kes abistasid.

[mikk36]

Ehk siis väidad et kui tekitad uue php faili, mis väljastab sha1($_POST['parool']), siis tulemus on alati sama olenemata sisendist ?

[Naljatilk]

Vabandan oma ülbuse pärast, ei olnud serveri poolne viga, ikka see lammas, kes koodi kirjutab..
Mul häshis see koguaeg kirjet $_POST['pswrd'] mitte selle väärtust.. Ehk siis kirjapilt

[maxorator]

[mikk36]

maxorator, eksid siiski, '' ja "" on erineva tähendusega.
http://ee2.php.net/types.string

[maxorator]

[inzinz]

Kõige hullem "nüanss" on just sellel kahekordsel jutumärgil " Ning see annab tavakasutuses palju tunda, minu käest on mitmeid kordi küsitud miks miskit stiilis
file_put_contents("failinimi", "mingi$imelik$tekst$imelike$separatoritega");
kirjutab faili mingit jama või miks samas stiilis echomine ei anna õiget tulemust.

Põhjuseks see et kahekordse jutumärgi puhul peab $ kasutamisel ettevaatlik olema kui just meelega ei taha stringi sisse muutuja väärtust panna.
Lisaks on tavaliste tekstide kirjutamine " " märkide vahele kulukam php'le kuna ta otsib sealt seest $ märke ja erisüntaksit kui ' ' märkide vahel olles kuvab nii nagu isegi näed (välja arvatud see et stringi sisse ' märgi saamiseks pead selle escapema \ märgiga).
Kui ei ole vaja keset teksti mingit muutuja väärtust nii toppida siis igal juhul soovitan kasutada ühekordseid jutumärke: lihtsam ja grammi võrra kiiremgi.

[Renka]

maxorator, kuule ära aja jama. Vägagi annab tunda igasuguses kasutuses. Kasvõi selles, et sinu eespoolt toodud näited on valed tänu sellele, et neid erinevalt koheldakse.

[maxorator]

[gynterk]

[inzinz]

gynterk, enne kui niisama lahmima hakkad huupi, esmalt ikka uuri kuidas php sessioon töötab ja veendud et mu tehtud asi funktsioneerib samamoodi, see ei ole mingi huupi asi algaja koodija poolt Ning ei pea mingit pappi välja käima majutuse eest kui tahad natuke testida koodimist.
Php samamoodi kirjutab $_SESSION muutuja sisu serialized stringina kuskile kausta requesti lõpus (defaultina kõigile kättesaadavasse /tmp kausta), failinimeks on sess_{sessiooni_id}, kogu requesti ajal hoitakse fail lockituna, requesti lõpus kustutatakse liiga vanad sessioonid.
Ning php sessioone saad samamoodi suunata kuskile teise kausta.
Ainus vahe on minu variandiga see, et kuna session extension on seal välja lülitatud, siis $_SESSION ei ole superglobal ja selle kasutamiseks peab funktsioonide algusesse kirjutama global $_SESSION;

Seega ehk selgitad kusotsast antud asi on vähem turvaline kui php enda sessioon ? Loe kindlasti ka rida kus ma tungivalt soovitasin sessiooni kausta teha .htaccess mille sisuks on "deny from all" et keegi sessioonifaile näperdada ei saaks.

[gynterk]

Kõik mis ei ole väljaspool docrooti on ebaturvaline.

[DoS]