Hallo zusammen,

ich habe vor einigen Tagen die PHP-Installation auf meinem Webserver von der
Version 4.3.6 auf die Version 4.3.10 aktualisiert (die Gründe seien hier mal
nicht zur Debatte gestellt).

Nun stelle ich fest, dass die Session, in der der Login-Status gemerkt wird,
nach dem Wechsel auf eine Seite mit einer anderen Domain verloren wird. Das
ist für mich deshalb ein Problem, weil meine Website auf zwei Server mit
zwei unterschiedlichen Domains verteilt ist.

Kann mir jemand sagen, ob das ein in der Version 4.3.10 behobener Bug ist,
der halt in der Version 4.3.6. noch drin war? Mir scheint als gäbe es keine
andere Möglichkeit, als die Site auf einen Server zusammen zu bringen. Um
meinen Auftraggeber aber davon zu überzeugen, bräuchte ich stichhaltige
Argumente. Daher die Nachfrage, ob es vielleicht einen halbwegs offiziellen
Hinweis auf das geschilderte veränderte Verhalten gibt.

Viele Grüße,
Ole Laurisch

Mister Ad

Ich verstehe ehrlich gesagt Deine Frage nicht. Normalerweise loft das doch so ab, daß PHP nach session_start() sich eine session_id ausdenkt, die dann entweder an den jeweiligen URL geklebt oder in einen Prozeßkeks gepackt wird. Alle Session-Daten werden als session file im session.save_path gespeichert.

Wie sollte da Server 2 zu den Daten kommen, die auf Server 1 gespeichert sind?

Ok, ich gebe zu, dass meine Frage etwas mißverständlich war. Das kommt davon, wenn man sich auf das Wesentliche beschränken will und keinen unnötigen Ballast posten will. Dann vergisst man doch etwas Wesentliches...

Also, etwas weiter ausgeholt. Die Website von der ich hier spreche besteht aus einem statischen HTML-Anteil und einem Kunden-Bereich, der mittels PHP realisiert ist. Aus hier nicht weiter genannten Gründen, liegen diese beiden Bereiche auf zwei unterschiedlichen Servern.

Wenn ich nun die Seite aufrufe, mich in den Kundenbereich einlogge (und dabei ja auf den zweiten Server wechsle) und danach wieder statischen Bereich (auf Server 1) wechsle, dann verliere ich dabei offensichtlich die Session, denn wenn ich dann erneut auf den Kundenbereich wechsle, werde ich erneut zum Login aufgefordert.

Das war vor dem Update auf 4.3.10 definitv anders. Da konnte ich zwischen den beiden Seiten hin- und hersurfen und die Session blieb erhalten.

Ich hoffe, mein Problem ist jetzt verständlicher.

Hi!

Ich kann mir ehrlich gesagt, nicht erklären, warum das vorher funktioniert hat.
Hast du schonmal die Einstellungen der php.ini gecheckt?

Gruß
Iceman

Thice

hast du schon überprüft, wie deine neue PHP-Installation die Session-ID auf dem Client weitergeben lässt?

Wenn das früher mit einem Cookie lief, bleibt das im Normalfall erhalten, bis der Benutzer das Browserfenster schließt. Wenn die Session-ID jetzt an die URL angehängt wird, geht diese durch die statischen HTML-Seiten, die diese ID eben nicht weitergeben, verloren.

__________________
kintzebros.de | KintzeBros Home Entertainment
2061. Nach dem Frieden | kurzfilm
Paula | spielfilm

OK, ich denke in dieser Umgebung ist der Fehler zu suchen.

Ich gebe (und habe schon immer gegeben) die Session per Cookie weiter, so der Client dieses denn akzeptiert. Tut er ja aber im IE standardmäßig nicht. Werde in diesem Umfeld mal weiter suchen. Vielen Dank für die Hilfe.

Ole

So, wie auch immer es in der früheren Version funktioniert hat, ist es ja prinzipiell richtig, dass der Domainwechsel nur dann nicht zum Verlust der Session führt, wenn der Client Session-Cookies akzeptiert.

Und ich habe mittlerweile auch definitiv nachvollziehen können, dass es mit dem
Seitenwechsel funktioniert, genau dann wenn ein Session-Cookie akzeptiert
wird (in der aktuell bei mir installierten Version 4.3.10).

Nun ist es ja aber leider so, dass z.B. der Internet Explorer in seiner
Standard-Einstellung keine Session-Cookies akzeptiert. Dann wird derzeit als
Fallback-Mechanismus der (unsaubere) Weg über session_use_transid genutzt.


Nun stellt sich natürlich die Frage, wie man mit diesem Problem umgeht. Man
wird die Besucher der Seite nur schwerlich davon überzeugen können, dass sie
Session-Cookies akzeptieren müssen. Für viele sind Cookies immer noch
(unberechtigter Weise) ein rotes Tuch. Ich habe mal irgendwo gelesen, dass
man mittels Zertifikaten den Client dann doch davon überzeugen kann, das
Session-Cookie anzunehmen. Wäre das vielleicht eine Lösung, da ich den
Webserver auf dem PHP läuft selbst betreibe.

Wenn ja, kann mir da jemand einen Hinweis / Link / o.ä. nennen?

Vielen Dank im Voraus,

Ole

Diese Aussage ist falsch, weil der Client den Keks nuzr an die korrekte Domain schickt. Wechselt der Hostname, belibt der Keks in der Dose.

btw: warum verwendest Du bei der Entwicklung hardkodierte Links und nicht $_SERVER["SERVER_NAME"]? Das ganze Thema hätte sich dann nämlich erledigt!

Da möchte ich nochmal auf meinen Post #3 in diesem Thread hinweisen. Sicher wird das Cookie nur an die korrekte Domain geschickt. Das reicht mir aber auch, denn nur hinter der einen Domain befinden sich PHP-Seiten, die das Cookie "benötigen". Die statischen HTML-Seiten interessieren sich sowie nicht dafür.

Ich verwende ich den PHP-Anteilen keine hardkodierten Links. Aber auf den HTML-Seiten habe ich natürlich keine andere Wahl.


Aber um nochmal auf das Thema Zertifikate zurückzukommen... weiß jemand was?

Ich meine dieses Forum nutzt doch auch einen Mechanismus, mit dem ich wiedererkannt werde, wenn ich die Seite Tage später nach meinem Login wieder besuche. Was wird denn dafür benutzt. Wahrscheinlich keine Session-Cookies...

robo47

was spricht gegen eine Session-id die im im link bei einem domainwechsel übergeben iwrd und dann die daten wieder aus der datenbank übernommen werden? also ein speichern der cookie-daten in einer datenbank.

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework