Сессии

[cheef]

У меня тут запарка случилась с сессиями. Когда 1 сессию начинаю и завершаю её всё работает. Но когда начинаю другую(например вход под другим пользователем при этом сессию 1-го пользователя завершил), то 1 сессия чередуется со 2 сессией после обновления страницы. В добавок когда по очереди их ещё обе завершаешь, после обновления страницы ты можешь оказаться под 1 или 2 юзером или вообще без сессии. Я уже начал верить в паранармальное.
Начинаю сессию так:
$_SESSION['login']=$myrow2['login'];
$_SESSION['id']=$myrow2['id'];
$_SESSION['level']=$myrow2['level'];
Сессию завершаю так:
unset($_SESSION['id']);
unset($_SESSION['level']);
unset($_SESSION['login']);
session_destroy();

[Никки]

Начинать нужно сессию так:

Код:

session_start();

и только после этого устанавливать параметры.

А для закрытия достаточно

Код:

session_destroy();

Причём, перед тем как начинать новую Вы должны закрыть уже запущенную сессию.

http://phpfaq.ru/sessions

[cheef]

session_start(); - этот код стоит у меня на всех страницах сайта.
session_destroy(); - этот только на странице выхода.
Я так понимаю все session_start(); нужно заменить на:
if (isset($_REQUEST[session_name()])) session_start();

[Никки]

Да, можно так.

Вот например как у меня:

Код:

if (isset($_REQUEST[session_name()])) 
{	
	session_start();
	if (!isset($_SESSION['user_id']) || $_SESSION['ip'] != $_SERVER['REMOTE_ADDR']) session_destroy();
}

Тут сразу же проверка по IP, чтобы не так просто было украсть сессию.

Вот логин:

Код:

if (isset($_POST['login'])) 
{
	$name=mysql_real_escape_string($_POST['login']);
	$pass=mysql_real_escape_string($_POST['password']);
	$query = "SELECT * FROM `_users` WHERE login='$name' && pass='".md5(md5($pass))."'";
	$res = mysql_query($query);
	if ($res)
	{
		if (mysql_num_rows($res)==1)
		{
			if ($row = mysql_fetch_assoc($res)) 
			{
				session_start();
				$_SESSION['user_id'] = $row['id'];
				$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
				$_SESSION['u_type'] = $row['type'];
				$_SESSION['sid'] = $row['sub_id'];
				
				mysql_query("UPDATE `_users` SET `lastlogin` =  '".time()."', `lastip` = '$_SERVER[REMOTE_ADDR]' WHERE `id` = '$row[id]'");
			
				header("Location: http://".$_SERVER['HTTP_HOST']."/?module=main&e=2");
			}
		} else header("Location: http://".$_SERVER['HTTP_HOST']."/?module=main&e=1");
	} else header("Location: http://".$_SERVER['HTTP_HOST']."/?module=main&e=3");
	exit;
}

А в логауте так:

Код:

if (isset($_GET['action']) && $_GET['action']=="logout") 
{
	session_start();
	session_destroy();
	header("Location: http://".$_SERVER['HTTP_HOST']."/?module=main&e=4");
	exit;
}

[cheef]

Осталась та же проблема. Может это быть связанно с хостингом?

[Никки]

Может быть. Попробуйте указать свою папку на сервере для хранения сессий.

в .htaccess php_value session.save_path "sessions/" (тут как то надо указать абсолуютый путь)
либо с помощью функции session_save_path($_SERVER[DOCUMENT_ROOT]."/sessions/");
либо так: ini_set('session.save_path', $_SERVER[DOCUMENT_ROOT]."/sessions/");

Разумеется в .htaccess нужно будет услановить Deny from all для папки sessions/

[Виталий Желтяков]

Это скорее связано с браузером (например, проблема наблюдается для FF всегда). Убивайте сессионные куки через JS.

[cheef]

Я вообще без кук работаю или они сами создаются при начале сессии? Я просто про них ещё не читал.

[Виталий Желтяков]

Куки если не запрещены создаются автоматически.

[TranceSmile]

Никки, а вот ip проверять если не тот то завершаем сессию и человеку обратно придется заходить под своим логином и паролем?