session-sjekk

[jorgis]

Har et heimemekka login-script som bruker PHP og mySQL. Selve sjekkingen av passord og brukernavn mot mySQL funker fint. Problemet er med sessions og validering av disse.

 

login.php starter en session, og tilordner den den krypterte verdien av passordet. Det krypterte passordet legges inn i en link til admin.php (den beskyttete siden). linkformatet er admin.php?s=2348203948skldfj984

 

I admin.php vil jeg kunne sjekke om det som står i URL er likt til det det krypterte passordet i sessionen, for å sikre meg mot at noen går direkte til URL'en til den beskyttede siden. Hvis det stemmer, skal admin.php vises. Hvis ikke, skal det vises en feilmelding. Hvordan kan jeg gjøre det?

[Torbjørn]

jeg ser ikke helt vitsen, kan du ikke bare sjekke om personen har sessionen eller ikke? han kan bare få den ved å logge inn.

[jorgis]

Det jeg vil, er å sjekke for den sessionen for hver eneste side etter login.php for å unngå at noen går direkte inn.

 

Hvordan gjør jeg det?

[Torbjørn]

legg til dette i alle filer:

<?php

include "login_check.php";

?>

 

og i login_check.php:

<?php

if(!session_isregistered("din_session")){

die("her har du ikke tilgang");

}

?>

[jorgis]

Oki. Skal prøve det nå.

[jorgis]

Yup. Funker fett det nå.

 

Skal også ha en logout-funksjon. Er det noe sånt som session_kill(); jeg må bruke da?

[????????]

jeg ser ikke helt vitsen, kan du ikke bare sjekke om personen har sessionen eller ikke? han kan bare få den ved å logge inn.

Det blir i så fall ca. lavest form for å sjekke om brukeren er logget inn.

 

Skal også ha en logout-funksjon. Er det noe sånt som session_kill(); jeg må bruke da?

 

Du kan bruke unset() eller session_destroy()

[Torbjørn]

jeg ser ikke helt vitsen, kan du ikke bare sjekke om personen har sessionen eller ikke? han kan bare få den ved å logge inn.

Det blir i så fall ca. lavest form for å sjekke om brukeren er logget inn.

jada, jeg fisket vel egentlig etter at han kanskje ikke visste hvordan man brukte sessions til identifisering