[SIForge.org] Guida alle sessioni in PHP

anonimo (26 set 2009, 10:35:50)

Come faccio a inserire più di un utente?

Francesco (21 lug 2009, 13:52:50)

Buongiorno Davide, ho sperimentato il codice della tua guida sulle sessioni Php e non riesco a rendere accessibile il codice del form, rendendo minuscole le lettere dei tag e degli attributi e inserendo i doppi apici. Sono in difficoltà, hai un'idea? Complimenti Francesco

claudio (01 nov 2008, 17:18:24)

ciao, bella guida, l'unica cosa che non ho capito è nella riga 8. Se il cookie non sono impostati si inserisce il valore della sessione presente in $_POST in una variabile..PHPSESSID , poi si procede a ricaricare la pagina, per inviare l'id della sessione alla pagina su.php tramite $_GET.. a questo punto mi chiedo, la pagina su.php non può da sola verificare se $_POST[SESSID] è settato? e nel caso sia settato. Se su.php è la pagina stessa, dato che session_start verifica sugli array globali la presenza di PHPSESSID lo ritrova settato in $_POST.. perchè rimandarlo con $_GET.. forse qualcosa mi è sfuggito :)

phk (17 apr 2008, 10:44:32)

grazie, articolo molto utile.

Marco Lamberto (04 feb 2008, 09:38:18)

Puoi mettere una variabile in sessione solo dopo un login riuscito. Nelle pagine protette controlli se esiste questo valore diversamente fai una redirect all'url di login usando la funzione: header("Redirect: /login.php") Ovviamente al posto di "/login.php" metti l'url che ti serve. ;) Inoltre assicurati di cancellare la variabile di sessione al logout o invalidare direttamente tutta la sessione per non rischiare "strascichi". Ciao, Marco

Billi (02 feb 2008, 03:58:22)

e, soprattutto, se non si è ancora loggati, come si fa a spedire l'utente alla pagina del login? Ringrazio ancora! Billi

Billi (02 feb 2008, 03:45:47)

Ciao Marco, che script devo usare su tutte le pagine a cui si accede solo dopo il login? Grazie tante ancora per l'aiuto! Billi

Billi (23 gen 2008, 01:30:02)

porcaccia, che errore... Ore ed ore di tempo perse per non essermi mai tanto applicato in inglese! Effettivamente ora funziona. :) Mille e mille grazie, Billi

Marco Lamberto (22 gen 2008, 19:32:41)

Ehm, noto solo ora che hai scritto "hydden" invece di "hidden". :)

Billi (22 gen 2008, 13:59:05)

Io non ho messo gli apici perchè nel testo originale non ci sono ed ho fatto un rapido copia/incolla. Ora li ho aggiunti, ma il risultato rimane uguale: quando apro per la prima volta il browser, sotto a "Loggami" viene scritto anche il valore di $PHPSESSID (in questo caso "fc963cfd82bd458d8a83ab84a54fdd10"). E' questo quello che trovo strano! Perchè lo stampa?? E perchè solo quando apro per la prima volta il browser? Se però poi aggiorno la pagina, sparisce il valore di $PHPSESSID e tutto viene bene. Questo è il codice risultante di quando apro per la prima volta la pagina dopo aver aperto il browser:

poi aggiorno la pagina e diventa:

Saluti, Billi

Marco Lamberto (21 gen 2008, 08:30:34)

La sessione viene creata automaticamente, quando la distruggi ne viene resa immediatamente disponibile una nuova (vuota). Inoltre prendi l'abitudine di racchiudere il valore degli attributi tra singoli o doppi apici (' o ") invece di lasciarli cosi`. Saluti, Marco

Billi (20 gen 2008, 18:58:22)

Funziona, grazie! Un altro problema uscito è che, quando apro il browser (IE7) e vado per la prima volta sulla pagina del log in, mi stampa il value del $PHPSESSID. Subito sotto al "Loggami" Come mai?? Il finale del che raccolgo è:

Questo succede sia che io abbia chiuso il browser facendo il logout o no. (col logout non dovrebbe distruggere comunque la sessione con session_destroy(); ??) Grazie ancora! Billi

Marco Lamberto (19 gen 2008, 08:56:53)

Prova ad usare le funzioni di buffering (ob_start() all'inizio della pagina ad esempio). Ciao, Marco

Billi (19 gen 2008, 01:05:05)

Tutto veramente perfetto! L'unico problemuccio è che dopo il logout, non mi ricarica il FORM, ma esce una pagina bianca. All'URL rimane appeso ?logout=1, come se header("Location: $redirect"); non fosse stato letto. Come mai? Grazie mille per la disponibilità! Billi

buc (26 apr 2007, 21:45:40)

Ciao m3x, rileggendo il codice dopo mesi e mesi ho notato una cosa: effettuando prima il salvataggio su cookie (r.24) e POI il controllo di esistenza del cookie per la login automatica (r.42), non è che il secondo blocco viene effettuato anche quando il cookie è stato appena creato? Credo che il problema sussista effettivamente ma se nessuno l'ha notato finora mi viene qualche dubbio. Comunque, io ho risolto semplcimente ponendo il primo blocco IF (r.24) dopo il secondo (r.42). Ciao e rinnovo i complimenti per la guida!

Massimo di Cataldo (04 gen 2007, 13:38:39)

Mamma mia, fra tutti i tutorial è quello peggio fatto! Non voglio essere negativo al massimo, vi dico la mia impressione: troppo tecnico, dovreste andare per gradi (non marasma di codice e poi spezzarlo), e italiano da riverificare! Ciao e complimenti comunque per il sito

Ema (15 dic 2006, 18:32:52)

Ciao a tutti, la guida l'ho capita abbastanza bene, solo vorrei fare che l'accesso sia fatto da più utenti ognuno con il suo login, il database SQL l'ho già creato...mi potreste spiegare com faccio a loggarmi con i dati che stanno nel database? Grazie in anticipo, ciao!

Elvis (28 nov 2006, 20:33:47)

da qualche parte ho letto di e cookies nascosti, ma non mi è piaciuta molto come soluzione, è usata per banners ed adverts vari

Elvis (28 nov 2006, 20:29:58)

Problema: Ho un sito e-commerce nel dominio "www.negozio.com" Con tutti i prodotti, il carrello etc. Ho bisogno che l'ultima fase del carrello sia nel subdominio secure.negozio.com con SSL e ip dedicato. COME FACCIO A "PASSARE" la session_id ad un altro dominio? E' possibile? Mi spiego meglio: la mia sessione è identificata con phpsessid=1234 (in realtà 32 cifre) nel dominio www.negozio.com quando vado nell'ultima pagina del carrello (dove inserire dati sensibili di privacy) nel subdominio secure.negozio.com avrò phpsessid=3256 (ad esempio) Quindi mi è impossibile risalire all'ordine collegato alla sessione e quindi tutto quello che mi serve, oggetti acquistati, nome per la spedizione, indirizzo etc. In alternativa so che la sessione genera nel mio carrello un numero d'ordine, come faccio a richiamare questo numero d'ordine nel subdominio (in modo da ottenere gli altri dati quali nome, cognome etc.)? Vi prego, non mandatemi sulla sezione "session" del sito PHP, ci ho passato la giornata... Grazie infinite dell'attenzione

Marco Lamberto (26 set 2006, 15:23:27)

Sei sicuro che non sia un problema di cache di IE? Ciao, Marco

antonio (28 ago 2006, 15:12:37)

Ho inserito il controllo della variabile ma malgrado questo, dalla traccia nei temporary internet file si può riapriri la pagina protetta. Il mio file di logout è il seguente: Può essere questo che non mi cancella dal cache la sessione?

Antonio (28 ago 2006, 11:44:20)

Grazie Marco, provvedo ad inserire lo script di controllo e ti farò sapere come è andata. Ciao

Marco Lamberto (26 ago 2006, 21:23:59)

Con "la sessione è stata cancellata da logout" intendi dire che in logout hai distrutti i dati di sessione con una session_destroy ( http://it2.php.net/session_destroy )? Ti suggerisco di mettere in fase di login una variabile di sessione per verificare il successo dell'operazione e controllarla in ogni pagina in cui sia richiesta l'autenticazione. Al logout la session_destroy cancellera` anche questa variabile ed il malintenzionato avrebbe ben poco da fare ... Saluti, Marco

Antonio (23 ago 2006, 17:38:31)

Buongiorno a tutti. Stò imparando ad usare php Ho ceato un area di accesso privata usando le sessioni. Ho notato che nei temporary internet files, rimane traccia dell'url della pagina completa di phpsessionid. Richiamando questo url, anche se la sessione è stata cancellata da logout, è possibile che un malintenzionato richiami la pagina e vi acceda acnhe se non conosce pswd. E' possibile evitare questo? Grazie. Antonio

Marco Lamberto (26 mag 2006, 08:18:42)

Puoi usare i cookies, sono impostazioni del sistema di gestione delle sessioni, dai una letta qui: http://it.php.net/manual/en/ref.session.php Ciao, Marco

delda (25 mag 2006, 23:53:37)

Ciao a tutti, gestisco un sito con identificazione personale. Utilizzo le sessioni ma vorrei evitare che il SID sia passato direttamente nell'URL. Come posso modificare il codice? Grazie.

ToSo (24 mag 2006, 09:15:33)

ciao, sto facendo una tesina x la scuola con php, devo gestire un sito per la vendita on-line di alcuni prodotti ma nn mi funziona un problema con le sessioni x gestire il carrello dell'utente... potete dirmi cosa c'è di sbagliato? per favore (premetto che sto imparando php mentre faccio la tesina) LOGIN.PHP alert('Nome utente o Password errata');"; include("login.html"); exit; } $_SESSION['codice_utente'] = $riga[Codice]; echo("benvenuto $utente"); include("vis_cpu.php"); mysql_close($conn); ?> BUY.PHP (aggiunge il codice utente al carrello)

Marco Lamberto (22 mag 2006, 16:13:14)

Cercando con Google ho trovato questo: http://forums.oscommerce.com/index.php?showtopic=184484 Ciao, Marco

corrado (22 mag 2006, 16:00:41)

Ho risolto, magari in modo non molto ortodosso (e grazie ad un consiglio trovato online), sostituendo (E_ALL & ~E_NOTICE); con (E_ALL & ~E_NOTICE & ~E_WARNING); nei due file application_top.php in \catalog\admin\include e \include grazie comunque :)

corrado (22 mag 2006, 14:24:45)

ciao a tutti :) premetto di essere 1 niubbo totale in php; mi sono accostato alla programmazione x dare 1 mano ad un amico che vuole mettere online un sito; dopo lunghe ricerche (che brutta l'ignoranza), ho scelto di utilizzare il pacchetto oscommerce, che ho installato in locale senza troppi problemi, dal momento che funziona. messo poi su un host remoto sono iniziate le grane. Al momento gli errori che mi restituisce, con qualsiasi browser che si usa sono questi: Warning: session_save_path() [function.session-save-path]: SAFE MODE Restriction in effect. The script whose uid is 104558 is not allowed to access owned by uid 0 in /mnt/storage/users/e/n/o/mysite/includes/functions/sessions.php on line 148 Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /mnt/storage/users/e/n/o/mysite/includes/functions/sessions.php:148) in /mnt/storage/users/e/n/o/mysite/includes/functions/sessions.php on line 97 Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at /mnt/storage/users/e/n/o/mysite/includes/functions/sessions.php:148) in /mnt/storage/users/e/n/o/mysite/includes/functions/sessions.php on line 97 Ho letto l'articolo su ob_start, ma non ci ho capito molto, mentre per il discorso sul safe mode, mi sembra che sia legato al file htaccess, ma non ho compreso bene come ovviare al problema. Grazie a tutti dell'aiuto. :)

Marco Lamberto (26 apr 2006, 21:28:35)

Bene, bravo! :D Ricorda di isolare per bene i percorsi che generano la pagina, non affidarti ad un header per cambiare pagina, non e` detto che il browser interrompa il caricamento e operi la redirezione immediatamente! :) Ciao, Marco

Alessio (26 apr 2006, 18:20:58)

tutto risolto; penso che fosse il RETURN che non andava nel primo codice che ti ho mandato. Grazie mille. con i tuoi suggerimenti piano piano sono arrivato alla soluzione.

Alessio (26 apr 2006, 17:57:05)

niente warning; quello era semplicemente dovuto echo "impostazione cookie
"; prima di setcookie. inoltre setcookie("alessio", "prova", time()) è sbagliato devo mettere time()+intervallo o nessun argomento correggendo, il warning non c'è più ma il cookie non esiste ancora; non viene creato. sara un problema di setccokie?

Alessio (26 apr 2006, 17:32:38)

Ho fatto un'altra prova. //file proteggi.php "; setcookie("alessio", "prova", time()); } } else { echo "form di inserimento user"; echo ""; exit(); } } ?> apro con il browser home.php che ha un link a pag1.php. sia home.php che pag1.php iniziano così:

Alessio (26 apr 2006, 16:04:35)

mettendo exit dopo header('Location...) giustamente non visualizza più nemmeno la pagina iniziale. quello che dovrebbe fare (in riferimento al codice precedente) è dopo l'header rientrare nella pagina di protezione e verificare la condizione "if(isset ($_COOKIE['admin_reserved'])) return;" ma la condizione non è verificata perchè il cookie non esiste.

Marco Lamberto (26 apr 2006, 07:33:49)

Mhh, prova a scorporare tutti i test che ripeti nei vari "if" in variabili booleane valutate in testa al file e poi modificate se necessario nei blocchi specifici (questo sicuramente aumenta la leggibilita`). Inoltre dopo "header('Location: ..." dovresti mettere un exit o comunque terminare l'esecuzione dello script onde evitare che vengano valutati altri blocchi. Attendo tue news! :D Marco

Alessio (25 apr 2006, 17:51:45)

//il seguente è il contenuto del file di protezione incluso nelle pagine // da proteggere. all'apertura della pagina si apre la form per //nick e password. dovrebbe mantenere il cookie fino al logout //o alla chiusura del browser. questo almeno era quello che //faceva con php5. //controllo logout $action=$_POST['action']; if(isset($action)&&$action=="logout") { setcookie('admin_reserved', "", 0); header("Location:".$GESTIONE_CLIENTI); } //controllo l'esistenza del cookie. if (isset($_COOKIE['admin_reserved'])) return; //accesso effettuato, ma nessun cookie impostato. if(isset($_POST['account'])&&!isset($_COOKIE['admin_reserved'])) { $account=$_POST['account']; $password=$_POST['password']; $query="select uid from log_admin where account='$account' and password='$password';"; $result=@mysql_query($query, $db); if(@mysql_num_rows($result)==0) { echo "

account e password amministrativi errati. Prego tentare nuovamente il login...

"; include ($ACCESSO_ADMIN); exit(); } $row=@mysql_fetch_array($result, MYSQL_ASSOC); $uid=$row['uid']; //setto il cookie impostatando nome a 'admin_reserved', valore a $uid $nome_cookie='admin_reserved'; @setcookie($nome_cookie, $uid); @mysql_close($db); @header("Location:".$GESTIONE_CLIENTI); } else //accesso non effettuato e nessun cookie impostato. if(!isset($_POST['account'])&&!isset($_COOKIE['admin_reserved'])) { echo "

Inserire il proprio account e la propria password per entrare nella gestione dell'area clienti...

"; include ($ACCESSO_ADMIN); exit(); }

Marco Lamberto (25 apr 2006, 17:38:23)

Se non e` troppo lungo, potresti incollare un pezzo "incriminato" o eventualmente metterlo on-line da qualche parte che provo ad indagare meglio? Ah, giusto per ... controlla che il file /etc/httpd/logs/error_log non contenga dei warnings di php che potrebbero svelare l'arcano (sia sul sistema con php 5 che 4). Eventualmente sulla macchina con php4 configura il solito php.ini in modo da fare il logging verboso e lo salvi (error_reporting = E_ALL e log_errors = On).

Alessio (25 apr 2006, 16:07:33)

altre soluzioni. te ne sarei molto grato.

Alessio (25 apr 2006, 16:06:49)

Grazie Marco ma ho sempre usato le variabili globali $_POST, $_COOKIE, $_SESSION, etc...., ma con php5 lo script funziona e php4 no; sembra che il cookie non venga salvato

Marco Lamberto (25 apr 2006, 15:54:21)

Ciao Alessio, controlla l'impostazione di register_globals (in FC5 Off per ormai ovvie ragioni di sicurezza), controlla quindi di usare le variabili globali $_GET, $_POST, $_SESSION, $_COOKIES, ... invece di riferirti alle variabili dirette. Diversamente imposta register_globals a On (te lo sconsiglio, ma puo` essere la soluzione piu` rapida se non hai tempo). Ti rimando al manuale per un approfondimento: http://it.php.net/register_globals Saluti, Marco

Alessio (25 apr 2006, 14:40:27)

non so più che fare. sul mio fedora core 3 avevo php5. Uno script per la gestione di un'area privata tramite cookie funzionava perfettamente. siccome in realtà tale script dovrebbe funzionare con php4, o effettuato il passaggio da php5 a php4. adesso non funziona più niente. appena effettuato login entra nella prima pagina e non salva alcun cookie, quindi all'accesso alle successive pagine protette ritorna alla form di login. ho provato quindi ad usare le sessioni, ma niente da fare. COSA POSSO FARE? forse è un problema di configurazione del php.ini. VI PREGO AIUTATEMI.

chad (21 apr 2006, 13:09:48)

Ok, È già online la versione 8, ma quasi mi vergogno talmente è screncia, appena uppo la versione 9 sarete tra i primi a saperlo, coming soon (2-3) mesi. Grazie ancora!!

Marco Lamberto (21 apr 2006, 09:13:04)

Prego! Facci sapere se va on-line! :D Ciao, Marco

chad (20 apr 2006, 17:09:20)

Thx mille! nel frattempo ci ero arrivato, l'ho implementato con i cookie, logout, scelta di durata dei cookie ecc... sessioni capite, almeno questo esempio si! grazie mille!!

Marco Lamberto (20 apr 2006, 05:32:43)

Ehm, no, non ti servono i cookies, appoggiati alla sessione, per verificare se un utente e` logged puoi registrare la sua username in una variabile di sessione $_SESSION['LOGIN']. Per controllare se e` autenticato fai un test isset($_SESSION['LOGIN']), se true prendi il valore come "id" per estrapolare i dati dal db, diversamente mostri la pagina di login. ;) Ciao, Marco

chad (19 apr 2006, 13:55:26)

Grazie mille Marco allora forse ho capito. Controllo user e pass ( i cookie servono solo x ricordarlo quando rientra l'utnete, giusto?) poi setto una variabile di sessione esempio $log = 1, se log = 1 guardi la pagina altrimenti no. Fino a qua è giusto? Ma poi per sapere nick mail ecc. di quell'utente, dove prendo un $id per estrapolare i dati da database in modo sicuro? uso ancora i cookie??

Marco Lamberto (18 apr 2006, 16:31:08)

Se usi le sessioni di PHP la persistenza tra una pagina e l'altra delle informazioni e` garantita automaticamente usando tutti i mezzi disponbili (cookies inclusi). Nella pagina di login devi solo controllare che user e password siano corretti, dopo puoi impostare una variabile di sessione che indichi l'avvenuto login con successo. In ogni pagina controlli che questa variabile di sessione sia presente e valorizzata correttamente, diversamente rimandi alla pagina di login. Per ulteriori approfondimenti ti rimando alla pagina del manuale di PHP che tratta le sessioni: http://www.php.net/manual/it/ref.session.php Saluti, Marco

chad (18 apr 2006, 14:13:54)

Ciao, mi riferisco al commento di anna: qui. Io devo praticamente fare la stessa cosa, il file è incluso ovunque nel sito ma non mi ricorda l'utente, mi fa il controllo all'invio del form ma non me lo ricorda, dovrei integrarci i cookie, e poter fare un log out, come posso fare?

Marco Lamberto (18 apr 2006, 09:43:58)

A tutti gli effetti sembra un problema di configurazione, controlla in php.ini la proprieta` "session.save_path". Ciao, Marco

anonimo (07 dic 2005, 12:50:07)

HELPPPPPPPPPPPPPPPPPPPPPPPPPP SCUSATE NON CONOSCO ASSOLUTAMENTE PHP :( RICHIAMANDO LA MIA PAGINA IN PHP (PAGINA PROTETTA DA PASSWORD) MI DA QUESTI ERRORI DEVO METTERE LE MANI NEL CONFIG DI PHP OPPURE ? ALLEGO ERRORI --------------------------------------------------------------------- Warning: session_start(): open(c:/Abyss Web Server/php/session\sess_daa6c98a37c82894c7f79c2896f75081, O_RDWR) failed: No such file or directory (2) in C:\Programmi\Abyss Web Server\webs\utpsw\index.php on line 3 Warning: session_start(): Cannot send session cookie - headers already sent by (output started at C:\Programmi\Abyss Web Server\webs\utpsw\index.php:2) in C:\Programmi\Abyss Web Server\webs\utpsw\index.php on line 3 Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at C:\Programmi\Abyss Web Server\webs\utpsw\index.php:2) in C:\Programmi\Abyss Web Server\webs\utpsw\index.php on line 3 Per accedere a questa pagina devi prima effettuare il login Warning: Unknown(): open(c:/Abyss Web Server/php/session\sess_daa6c98a37c82894c7f79c2896f75081, O_RDWR) failed: No such file or directory (2) in Unknown on line 0 Warning: Unknown(): Failed to write session data (files). Please verify that the current setting of session.save_path is correct (c:/Abyss Web Server/php/session) in Unknown on line 0

anonimo (01 nov 2005, 07:55:44)

Il "problema" dipende da come hai organizzato il tutto, puoi mettere l'inclusione e la generazione delle pagine in un file php che faccia da template (magari con una piccola classe ad hoc) e per ognuna delle pagine reali crei un .php, includi il template e personalizzi il tutto. In alternativa puoi usare PHP Fast Template o qualche suo clone: http://www.devshed.com/c/a/PHP/PHP-Fast-Template Ciao

virtualvev (31 ott 2005, 17:13:59)

HO scritto il codice ke mi hai dato ma purtroppo cliccando sul link, le pagine si caricano ma come pagine principali! Di conseguenza le pagine sx e dx spariscono! A me piacerebbe creare una specie d’iframe.Ossia, far cambiare solo la parte centrale della pagina index! In passato ho provato a creare il sito con il comando iframe, ma il risultato è stato veramente pessimo!Sembrava di avere uno sfondo dentro l'altro e se provavo ad utilizzare la rotellina del mouse, le pagine, si bloccavano al passaggio del cursore sul frame! Adesso per far funzionare il mio sito, ho dovuto creare un file index per ogni pagina centrale che ho creato, ma in questo modo si caricano ogni volta anche le pagine che non variano!

virtualvev (31 ott 2005, 16:11:34)

Grazie mille, adesso provo!

Marco Lamberto (30 ott 2005, 07:52:27)

Se ho inteso il tuo problema correttamente, prova con: ">... Ciao

virtualvev (29 ott 2005, 15:37:56)

Ciao, ho un problema! Premetto ke sono ancora alle prime armi! Ho creato un file chiamato index.php! Dentro questo file ho inserito 3 pagine.php ( sx.php , cx.php , dx.php ) tramite il comando "include"! Per far cambiare solo la parte centrale della pagina "index.php" Ho inserito Nella pagina centrale "cx.php" il seguente codice: La mia domanda è: nei vari link a href=""> cosa bisogna scrivere per lincare le alte pagine centrali! Spero di essere stato abbastanza chiaro nella domanda! ciao e grazie

Sergio (20 ott 2005, 12:50:32)

Ciao, ho un problema per quanto riguardano le sessioni: quando le setto funzionano benissimo, l'unica cosa è che non capisco bene come funzioni il loro timeout, cioè quando cadono. Ho letto varie info su sessione_cache_expire e sessione_cache_limiter ma non riesco a farlo funzionare ugualmente. Mi potreste dire per cortesia come vengono utilizzate? Devo inserire queste inf nello script oppure devono essere settate nel php.ini? E se sono settate sul php.ini in un modo come faccio a fare in modo che nella mia applicazione funzionino in modo diverso? ciao e grazie

anonimo_disperato (18 ott 2005, 22:01:27)

grazie proverò

Marco Lamberto (17 ott 2005, 07:09:23)

All'inizio della pagina metti una chiamata a "ob_start()". http://it2.php.net/ob_start Ciao, Marco

anonimo_disperato (16 ott 2005, 17:19:21)

aprendo una pagina php fatta da me x testare alcune cose sulle sessioni mi escono questi avvertimenti , qualkuno può aiutarmi Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at C:\Programmi\Apache Group\Apache2\progetto\prove\session_prova.php:7) Warning: session_start() [function.session-start]: Cannot send session cache limiter - headers already sent (output started at C:\Programmi\Apache Group\Apache2\progetto\prove\session_prova.php:7)

Giovanni Giorgi (14 ott 2005, 16:11:11)

Il cookie e' il meccanismo con cui si implementa la sessione. C'e' un RFC apposito che spiega l'uso dei Cookie. In sostanza quando il web browser si connette e fa login, il server lo "marca" con un biscottino (cookie) molto piccolo che poi il browser non fa altro che rimandare al server ad ogni richiesta. Il biscottino semplifica di molto la gestione della sessione. Se dopo k minuti il browser non ci invia piu' il biscottino, il server "elimina" i dati delle sessioni che sono scadute, perche' suppone che abbiamo smesso di navigare sul nostro sito.

Max (14 ott 2005, 10:34:35)

Ho letto l'articolo è mi è stato molto utile per capire le sessioni...Vorrei se è possibile charire con voi alcuni dubbi: 1. Perchè le sessioni usano un cookie, a che serve visto che in mancanza di esso la sessione non risulta chiusa? 2. Si può utilizzare questo cookie per indirizzarlo ad una specifica sessione attraverso l'idsessione senza dover crearne un altro per il 'RICORDAMI'? Grazie.

Marco Lamberto (12 ott 2005, 19:26:37)

@Andrea: memorizzare un riferimento ad un oggetto in una sessione ne mantiene il contenuto, vedilo come una variabile un pochino piu` complessa. @Toni: cosa intendi con pagine protette? https? Le sessioni funzionano comunque, il vantaggio e` che il dato sensibile non viaggia avanti e indietro fra browser e server ma rimane "in pancia" a quest'ultimo. Ciao, Marco

Toni (12 ott 2005, 15:06:59)

Ottima guida, la cosa che non riesco a capire bene è come i dati possano essere usati nelle pagine protette!!!! Come vengono passate le varie: $_SESSION['user'] = '$login_user'; $_SESSION['pass'] = '$pass_user'; $_SESSION['id'] = '$PHPSESSID'; Ho lasciato l'email nel caso qualcuno sarebbe disposto a spiegarmi......

Andrea (10 ott 2005, 20:06:37)

Le sessioni con gli oggetti funzionano come le variabili di sessione??????

Diego (12 set 2005, 12:11:17)

Io devo adattare lo script in modo tale da poter gestire più utenti mediante l'aiuto di un database...mi chiedevo se fosse possibile...comunque l'art. è spiegato splendidamente!

Marco Lamberto (20 ago 2005, 16:29:13)

Bravo! :) Confermo quello che hai scritto, magari la prossima volta che capiti qui lascia anche i riferimenti ai siti cosi` che magari anche altri possano documentarsi in maniera piu` dettagliata. Una nota sulla cancellazione del cookie, ovviamente il sorgente e` un esempio e come tale va preso "con le pinze". In un ambito reale ovviamente le cose si fanno un po' piu` complesse ed articolate, tipicamente questo genere di informazioni (token di login e preferenze) vengono registrate su cookies differenti o comunque l'operazione di logout manipola il cookie in modo da cancellare il token di login. Saluti, Marco

mauro(continuo il monologo) (19 ago 2005, 16:53:08)

nel caso qualcuno sia interessato rispondo alla mia seconda domanda.. :P Effettivamente..è tutto in chiaro..quindi trasformare la password dopo il post non serve a niente se qualcuno fa sniffing (guarda quello che passa tra il client e il server). Infatti se qualcuno si mette tra il browser del client e il server appena dopo che l'utente del computer client ha inserto la password e l'userId,egli vede entrambi i valori inseriti in chiaro..e quindi addio sicurezza! Ci sono alcuni siti a che spiegano come ovviare al probl... Ciao!!!

mauro(lo stesso di prima) (14 ago 2005, 16:16:58)

Ho letto con attenzione il tuo codice.. non capisco 2 cose: -'ricorda' è usato per impostare un cookie che permetta il riconoscimento automatico (fino ad un anno dalla prima volta che si effettua il login ). non riesco a capire perchè,se una persona effettua il logout,si debba cancellare il cookie e quindi l'opzione di login automatico che lui stesso ha scelto.. -creando la pagina di login con dei form il client invia al server password e userId in questo modo..circa: POST //path alla pagina.php// HTTP/1.0 Host: //sito// Content-Type: application/x-www-form-urlencoded Content-Length: //lunghezza// password-posted=//quel che è//&posted_username=//quel che è// questo non è visibile da un computer che si interponga tra client e server..rendendo uid e pwd in chiaro? Se nn è così mi daresti una breve spiegazione.. Se è così nn esiste un altro modo? CiaoCiao!!

mauro (12 ago 2005, 23:01:44)

Ciao ragazzi..bella spiegazione..complimenti. Un consiglio...dato che, mentre vi scrivo, sto cercando di usare le sessioni tenendone memoria con un database SQL, perchè non aggiungete una spiegazione a riguardo? :DD Ciao!!!

Vincent (04 lug 2005, 14:14:07)

vorrei sapere come fare per aggiungere più autenti allo script di login mostrato da Davide, se qualcuno mi aiutasse ne sarei davvero felice :) GRAZIE!

Marco Lamberto (24 giu 2005, 20:39:34)

Devi usare le funzioni di output buffering per impedire che l'header http venga mandato prima della session_start. Guarda la funzione ob_start e leggi il resto qui: http://it2.php.net/manual/en/ref.outcontrol.php Ciao, Marco

pasquale (23 giu 2005, 13:05:49)

Ho dichiarato session_start() (linea 97) subito dopo

Anna (17 mag 2005, 17:41:31)

ciao domandina...ho fatto un forum in php ed ho inserito le sessioni per il login dell'utente. Il codice del login è il seguente: poi per controllare se l'utente ha fatto il login uso questo codice: Per poter inserire un messaggio devi registrarti!!!"); echo("
"); echo("
"); echo("HOME"); echo("
"); echo("
"); echo("LOGIN"); exit; } ?> volevo chiedere è necessario inserire sessione destroy nella prima parte di codice??? non ho capito come utilizzare quella variabile...visto che nel forum faranno il login più utenti per volta (immagino) devo usare session destroy?? o come devo impostare la pagina??? grazie mille Anna

Marco Lamberto (15 apr 2005, 19:13:30)

No, non penso inoltre che cambiare le impostazioni del browser in maniera coercitiva possa considerarsi una soluzione. Ti suggerisco vivamente l'uso di uno script javascript che faccia il reset del form al caricamento della pagina. ;) Ciao, Marco

mino (15 apr 2005, 09:31:50)

Grazie mille...avevi ragione. Il browser dà la possibilità di impostare la memorizzazzione dei dati inseriti nei form. Annullando tale impostazione il mio script funziona. C'è la possibilità di fare in modo che PHP sia più forte dell'impostazione dell'utente... cioè potrei mediante uno script intervenire sulle impostazioni di un browser remoto? Ciao Mino

Marco Lamberto (14 apr 2005, 20:25:07)

Cosi` su due piedi direi che il problema e` sul browser, nel senso che gli automatismi del browser riempiono automaticamente i campi del form, per ovviare a questo potresti appoggiarti a del codice javascript che provveda a fare un reset del form. Ti suggerisco anche di dare uno sguardo al pattern "redirect after post" presentato in questo articolo di The Server Side: http://www.theserverside.com/articles/article.tss?l=RedirectAfterPost Saluti, Marco

mino (14 apr 2005, 17:32:49)

Ciao a tutti. E' da due giorni che le sessioni non mi danno pace. Vi spiego le mie intenzioni:voglio evitare che un utente tornando indietro col tasto del browser si ritrovasse le informazioni appena inserite nel form. Nella pagina contenente il form ho scritto questo codice: session_start(); session_unset(); session_destroy(); session_start(); Se i miei calcoli sono giusti, così facendo la sessione precedente viene distrutta" e ne viene attivata un'altra. Questo però non avviene visto che riappare il form con i dati inseriti precedentemente. Ho provato anche a inserire come prima riga: header("cache-control:must-revalidate"), ma senza ottenere risultati. Concludo dicendo che non mi viene segnalato nessun errore e nessun warning. Qualcuno saprebbe aiutarmi?? Ciao e grazie Mino

Marco Lamberto (09 mar 2005, 21:16:04)

Va bene, se vuoi puoi fare un mini articolo (pochi paragrafi) in cui affronti brevemente idee e problemi sorti nella progettazione e sviluppo e lo pubblichiamo. ;) Nel caso manda pure una mail all'indirizzo di redazione indicato in questa pagina: http://www.siforge.org/contacts/articles.html Ciao, Marco

Mikispag (09 mar 2005, 17:32:43)

Sì, è vero, colpa della fretta... Ti ringrazio molto per avermi risposto. Tra parentesi, ho implementato il login tramite MySQL usando come base il codice della guida. Se vuoi posso postarlo. Grazie, Mikispag

Marco Lamberto (08 mar 2005, 20:07:33)

Si, pero` devi spostare una parentesi! :D Da: md5($login_user)."%%".$pass_user a: md5($login_user."%%".$pass_user) Probabilmente t'e` scappata. ;)

Mikispag (08 mar 2005, 16:10:26)

Grazie mille per aver risposto. Quindi in teoria cambiando così il file check_login.php il problema dovrebbe essere risolto: 404 Not Found

Not Found

The requested URL was not found on this server.

"); } ?> Come avrai sicuramente notato, ho preferito simulare un fasullo errore 404 nel caso che l'utente non sia autorizzato ad accedere alla pagina protetta invece di stampare a video "Accesso non consentito". Puoi gentilmente dirmi se ora la pagina è davvero protetta? Grazie ancora e continuate così.

Marco Lamberto (07 mar 2005, 20:43:53)

Si e possibile, finche` ti limiti a controllare se il cookie e` presente, corri infatti il rischio che chiunque possa bypassare il controllo senza molti sforzi (basta creare un cookie con un valore a caso). Semplificando: in molti casi il contenuto di un cookie di autenticazione e` un valore opportunamente "offuscato" (magari mediante una funzione hash come md5), a lato server viene confrontato con quello generato, ad esempio, concatenando il nome utente la password. In questo modo se l'attaccante non e` a conoscenza della password puo` fare ben poco anche se viene a conoscenza del valore del cookie e del nome utente. Ciao, Marco

Mikispag (07 mar 2005, 19:50:02)

Ciao, complimenti per la guida. Volevo chiedere una cosa: ho necessità di creare delle pagine protette e ho pensato che se creo un file check_login.php con questo piccolo codice: 404 Not Found

Not Found

The requested URL was not found on this server.

"); } ... e in ogni pagina protetta metto all'inizio un bel ... la pagina risulta protetta. Ho testato questo metodo e mi sembra che vada senza problemi (ovviamente i cookies devono essere abilitati). Ho però una domanda: siccome il mio ipotetico controllo controlla solo il cookie, è possibile che un attacker crei un cookie di nome sav_user ad arte e bypassi la protezione? Come è possibile? Ringrazio in anticipo chi mi risponderà.

fabio (24 giu 2004, 19:42:05)

grazie mille! perfetto ho capito tutto! ciao fabio

Marco Lamberto (24 giu 2004, 09:14:53)

PHPSESSID viene usata per passare il nome (identificativo alfanumerico) della sessione, passarla come parametro ad uno script e` un meccanismo per comunicarla da una pagina all'altra senza l'uso, o qualora non fossero disponibili, i cookies. L'id e` univoco ed e` un meccanismo di php per identificare il pool di variabili di una precisa sessione. A ciascun id corrispondono quindi determinate variabili e relativi valori. Ti consiglio la lettura della sezione relativa al session handling del manuale di PHP: http://it2.php.net/manual/it/ref.session.php Ciao, Marco

fabio (23 giu 2004, 22:11:08)

ciao a tutti bello script!! volevo chiedervi una cosa ho visto in molti siti che nell'url appare il PHPSESSID. Ho sentito che serve per i cookie. Ma come funziona? Suppongo ci sia di mezzo la funzione session_name(); Ma non ho mai capito come funziona sto sistema del PHPSESSID. Come posso fare una cosa per il mio sito? grazie ciao ;)

M3xican (01 apr 2004, 23:46:41)

L'errore credo sia nella configurazione di PHP e non nella logica delle condizioni, infatti le tue aggiunte sono ridondanti visto lo scopo della verifica.

r (01 apr 2004, 17:09:28)

ciao, ho testato lo script su php4.3.3, e mi dava errore alle righe 31 e 67, con i messaggi, rispettivamente: Undefined index: logout ... Undefined index: nocookie ... probabilmente perche', aprendo la pagina la prima volta, le variabili non erano inizializzate. sostituendo le righe con if(IsSet($_GET['logout']) && $_GET['logout']==1) e if(IsSet($_GET['nocookie']) && $_GET['nocookie']==1) gli allarmi rientrano.. oppure, si poteva fare un controllo all'inizio dello script, settandoli ad un valore "dummy" nel caso non fossero presenti nella stringa della url. r

Marco Lamberto (06 feb 2004, 18:13:41)

Beh, se il materiale arriva "a fiumi" possiamo sempre valutare l'aumento di articoli al mese pubblicati! In ogni caso resteremo tutti in attesa del tuo prossimo pezzo! ;)

Davide Coppola (06 feb 2004, 17:58:40)

Realizzare un login interfacciando PHP/MYSQL non è una cosa difficile, ma non è nemmeno tanto facile da permettere la spiegazione in un forum. Credò sarà l'argomento della mia prossima guida, anche se per vederla dovrai aspettare un pò di tempo, sia per impegni personali, sia per la programmazione di siforge, che a quanto sò è già piena per i prossimi mesi.

anonimo (30 gen 2004, 23:13:45)

mi sareste veramente di aiuto se mi poteste indicare come implementare questo codice con il login attraverso una tabella di utenti mysql. Grazie in anticipo

Davide Coppola (17 dic 2003, 20:43:06)

Innanzitutto il login dovrebbe essere trasformato in modo da consentire l'accesso a più utenti, quindi dovresti prevedere un'iterazione con una database (mysql). Per quanto riguarda la posizione dell'utente credo che la cosa migliore da fare sia utilizzare un'apposita tabella del database che associata a uno script PHP mantenga memoria dell'ultima pagina caricata dall'utente. Comunque se non sei in grado di modificare uno script di login dubito fortemente che tu riesca a realizzare una cosa complessa come un gioco online... Forse e meglio se per ora compri un buon libro di PHP, uno di SQL (nel caso tu non li abbia ancora) e che ti dedichi a cosa più semplici per iniziare, per poi ritornare in futuro sul progetto.

Dan (17 dic 2003, 13:23:45)

Chiedo aiuto, premetto che bene o male ho compreso il funzionamento di questo script, ma ancora non credo di essere in grado di modificarlo secondo le mie esigenze. Io sto creando una città fantasy, per cui mi servirebbero login, logout ed una sessione che mi indichi dove si trova l'utente, mi chiedevo se fosse possibile adattare lo script qui esposto.