Utility
Home Messaggi odierni FAQ Ricerca avanzata Lo staff del forum Regolamento Utenti Archivio
Visualizzazione dei risultati da 1 a 4 su 4
  1. 19-12-2012, 11:07 #1
    Pandax
    Pandax non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2005
    Messaggi
    335

    Problema sessioni con 1 utente specifico...

    Ciao a tutti ho un sito con login per accedere all'amministrazione.
    Ma un utente pare non riesca ad accedere.. e non so il motivo.
    E' l'unico per ora che mi ha notificato problemi di login.. e io utilizzando i suoi dati di
    accesso entro senza problemi, utilizzando lo stesso browser usato da lui.

    Vi spiego come funziona il login.

    In home page c'è un piccolo form che richiede email e password
    inviate tramite chiamata ajax, c'è un controllo.. e se passato, vengono valorizzate delle variabili di sessione e segnato su DB il login con l'orario.

    Fin qui.. funziona tutto anche all'utente.. viene segnato su DB e si ritrova sulla home page con scritto Benvenuto.. e appare il pulsante per andare in amministrazione.

    Il problema c'è, quando l'utente clicca sul pulsante, si apre in un'altra scheda la pagina di amministrazione, MA gli viene detto che non è loggato e di fare il login.
    (se lo faccio io, invece funziona tutto correttamente)

    il controllo che faccio all'inizio della pagina di amministrazione è il seguente:


    codice:
    if (!$_SESSION['id']) { 
$noaccess_page = file_get_contents('noaccess.html'); 
echo $noaccess_page; 
die; 
}
    ovviamente $_SESSION['id'] viene valorizzato durante il login nella home...

    e ad inizio della pagina di amministrazione attraverso l'include di una pagina php, ci sono queste righe:

    codice:
    ini_set ('session.gc_maxlifetime', '3600'); 
ini_set ('session.cookie_lifetime', '3600'); 
ini_set('max_execution_time', '300');
ini_set('max_input_time', 170);

session_start(); //inizio la sessione
session_regenerate_id(); //rigenera l'id per evitare session fixation

    Qualcuno saprebbe suggerirmi dove potrebbe essere il problema o un modo per capire dove sia...?

    Rispondi quotando Rispondi quotando
  2. 19-12-2012, 11:18 #2
    satifal
    satifal non è in linea
    Utente di HTML.it L'avatar di satifal
    Registrato dal
    Jul 2007
    Messaggi
    5,752
    PHP potrebbe essere configurato per gestire la sessione tramite cookie e l'utente in questione potrebbe averli disabilitati sul proprio browser.

    php.ini
    codice:
    ...
; Whether to use cookies.
; http://php.net/session.use-cookies
session.use_cookies = 1

; http://php.net/session.cookie-secure
;session.cookie_secure =

; This option forces PHP to fetch and use a cookie for storing and maintaining
; the session id. We encourage this operation as it's very helpful in combating
; session hijacking when not specifying and managing your own session id. It is
; not the end all be all of session hijacking defense, but it's a good start.
; http://php.net/session.use-only-cookies
session.use_only_cookies = 1
...
    "Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza." (Oscar Wilde)
    Rispondi quotando Rispondi quotando
  3. 19-12-2012, 12:02 #3
    Pandax
    Pandax non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2005
    Messaggi
    335
    Grazie per il suggerimento
    ho controllato tra le variabili di aruba ed in effetti risulta

    session.use_cookies On On
    session.use_only_cookies On On

    controllerò ora con l'utente se il problema è quello.

    Domanda:

    ma è possibile usare le sessioni senza cookie? cambia qualcosa nel codice?
    devo richiederlo ad Aruba?

    Intanto grazie per il suggerimento.

    -------------------------

    avrei trovato questo esempio...
    http://dott104.wordpress.com/2008/02...-senza-cookie/

    ho però letto che passare il sid tra le pagine attraverso url o altro.. è una cosa vecchia e pericolosa dal punto di vista della sicurezza..

    alcuni parlano di usare le sessioni su database per togliere il problema cookies...

    ma come si fa? link o suggerimenti?
    Rispondi quotando Rispondi quotando
  4. 22-12-2012, 19:00 #4
    Pandax
    Pandax non è in linea
    Utente di HTML.it
    Registrato dal
    Jan 2005
    Messaggi
    335
    Originariamente inviato da satifal
    PHP potrebbe essere configurato per gestire la sessione tramite cookie e l'utente in questione potrebbe averli disabilitati sul proprio browser.

    php.ini
    codice:
    ...
; Whether to use cookies.
; http://php.net/session.use-cookies
session.use_cookies = 1

; http://php.net/session.cookie-secure
;session.cookie_secure =

; This option forces PHP to fetch and use a cookie for storing and maintaining
; the session id. We encourage this operation as it's very helpful in combating
; session hijacking when not specifying and managing your own session id. It is
; not the end all be all of session hijacking defense, but it's a good start.
; http://php.net/session.use-only-cookies
session.use_only_cookies = 1
...

    Ho aggiunto con controllo cookie al login.. così da dare non far loggare chi non li avesse abilitati.. e dargli un avviso di abilitarli.

    L'utente in questione mi ha detto che ha riprovato ma riesce solo a loggarsi.. ma poi cliccando su amministrazione, si apre la scheda in firefox 17 e gli chiede di loggarsi...

    E io con lo stesso browser, stessa versione, stessi dati di login.. entro..

    Qualche suggerimento su che controlli fare.. o su dove potrebbe essere il problema?
    Rispondi quotando Rispondi quotando
« Discussione precedente | Prossima discussione »

Permessi di invio

  • Non puoi inserire discussioni
  • Non puoi inserire repliche
  • Non puoi inserire allegati
  • Non puoi modificare i tuoi messaggi
  •  

Regole del Forum

Powered by vBulletin® Version 4.2.1
Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.