[Erledigt] Referer-Handling bei neuen Sessions

23.05.2006, 16:06

Da der letzte (ich denke nun ziemlich abgeschlossener) Strang über Sessions doch recht viel hergab, möchte ich ein neues anregen. Und zwar zu einem wie ich finde recht kniffeligem Thema.

In einer Anwendung soll einerseits jede Unterseite von außen diekt angewählt werden können, andererseits aber auch erkannt werden, wenn für einen Besucher die Sitzung abgelaufen ist und ihm dann zunächst eine Nachricht darüber angezeigt werden, die im ersten fall natürlich nicht angezeigt werden soll. Die Fälle sind voneinander somit zu unterscheiden.

Folgendes wäre zu bedenken:

Muss direkt gehen:

- Ich gebe die URL im Browser ein
- Ich komme von einer anderen Website durch einen Link auf eine Unterseite
- Ich komme von http nach https
- Ich komme von https der Website zurück nach http

Muss Nachricht einblenden:

- Ich komme von innerhalb der Website und die Session ist nicht mehr gültig, was auch beim Wechsel zwischen http und https geschehen kann.

Mich würden Eure Lösungsansätze interessieren.

Meine Lösung bedient sich des Wertes von $_SERVER['HTTP_REFERER'], der mit allen Domänen, unter denen die Website betrieben wird, vergliechen wird, was aber wegen des Wechsels http/https nicht ausreicht.

@zergling: Du kannst wie gewohnt nach Anfänger verschieben und ich bin wie gewohnt der Meinung, dass diese Frage hier - auf der mittleren Ebene - grundsätzlich richtig ist.

M3g4Star · 23.05.2006, 16:52

http://faq-phpfriend.de/q/q-http-referer.html

23.05.2006, 17:05

Klasse! Nicht, dass ich das nicht wüsste.

Hättest Du denn auch einen sinnvollen Alternativvorschlag?

ich denke, für die zum Glück wenigen sterblichen, die den Referer nicht mitsenden, wird sich die Anwendung so verhalten, als wären diese zum ersten mal auf der Website d.h. Nachricht über Session-Abluaf wird einfach nicht angezeigt.

Zergling-new · 23.05.2006, 17:56

Zitat:

Zitat von stani

@zergling: Du kannst wie gewohnt nach Anfänger verschieben und ich bin wie gewohnt der Meinung, dass diese Frage hier - auf der mittleren Ebene - grundsätzlich richtig ist.

Du letztlich ist mir das ziemlich egal wo der Thread landet, wenn die Frage ordentlich formuliert ist.

Nur das hier könntest du das nächste mal trotzdem ernst nehmen:
http://www.phpfriend.de/forum/ftopic57410.html

Wo sind deine Vorschläge? Hast du garkeine Ansätze? Das ist einfach nicht fortgeschritten!
Der Referer! Schön und gut, dann zeig doch mal konkret was du bereits erarbeitet hast. Das Manual zum Thema Session, Cookies, $_SERVER etc. kennst du?

xabbuh · 23.05.2006, 19:04

Zitat:

Zitat von stani

- Ich komme von innerhalb der Website und die Session ist nicht mehr gültig, was auch beim Wechsel zwischen http und https geschehen kann.

Welche Bedingungen müssen für dich erfüllt sein, damit die Session gültig ist? Reicht es aus, wenn das Sessionfile beim Aufruf des Benutzers existiert? Müssen bestimmte Werte in der Session gesetzt sein? Darf der Benutzer nur eine gewisse Zeit inaktiv gewesen sein?

23.05.2006, 19:11

Zergling habe ich privat geantwortet und meine Gründe genannt, weshalb ich derzeit meine Lösung nicht veröffentlicht habe. Kann ja noch ggf. kommen.

Ich möchte eine Diskussion, die sich nicht an meiner Lösung orientiert.

---------------------

Die Session ist dann nicht mehr gültig, wenn ein spezieller Wert in der Session nicht mehr vorhanden ist, sagen wir $_SESSION['init'] != TRUE.

Im Grunde dürfte in diesem Zustand $_SESSION gänzlich leer sein, da die Abfrage ganz zu Beginn einer Seite stattfindet und somit neue Werte nicht eingetragen werden. Also gilt an sich ebenfalls (! $_SESSION).

xabbuh · 23.05.2006, 20:14

Wie willst du denn unterscheiden, ob die Session leer ist, weil sie ungültig ist oder ob sie leer ist, weil der Benutzer die Seite direkt aufgerufen hat?

23.05.2006, 21:40

Jou xabbuh... genau deshalb habe ich diesen Strang gestartet. Um so etwas zu diskutieren.

Der Unterschied steckt im Referer. Beim Direktaufruf ist dieser leer. (Mir ist klar, dass Referer nicht immer zu gebrauchen ist).

Wie würdest Du es denn machen?

xabbuh · 23.05.2006, 22:09

Zitat:

Zitat von stani

JWie würdest Du es denn machen?

Ich frage mich, warum du da überhaupt eine Unterscheidung vornehmen willst. Eine Unterscheidung zwischen einem eingeloggten und einem nicht eingeloggten Benutzer vorzunehmen, hat ja durchaus Sinn, aber wozu willst du deine Idee verwenden?

23.05.2006, 22:27

Für jeden Besucher auf einer Website, der darin surft. Auch ohne eine Anmeldung, sofern er für ihn sichtbar Persönliches durchführen kann.

Denke dabei anj einen Shop: Sessionende => Warenkorb geht verloren.
Oder an ein CMS => Die Liste der zuletzt besuchten Seiten innerhalb der Site geht verloren.

In beiden Fällen ist es sinnvoll, den Besucher darüber zu informieren, bevor man eine neue Sitzung startet.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Referer und Umleitung	GSJLink	PHP Tipps 2008	16	12.05.2008 14:22
Ungültige und gültige Sessions	Micha2010	PHP-Fortgeschrittene	8	26.11.2007 10:17
2 Sessions	Kein Genie	PHP Tipps 2006	8	21.07.2006 15:45
Forum selber machen - Problem mit neuen Beiträgen		PHP Tipps 2006	2	01.04.2006 20:52
[Erledigt] probleme mit sessions		PHP Tipps 2007	1	17.11.2005 10:43
Referer in HTML-Dateien mitloggen - img src/script?		PHP Tipps 2007	6	02.11.2005 22:03
Referer via img-Tag an PHP übertragen		PHP Tipps 2005-2	7	04.08.2005 07:19
Sessions!	DER_Brain	PHP Tipps 2005-2	5	30.06.2005 14:51
Sessions? Wozu die Sessionid?		PHP Tipps 2005	2	27.05.2005 13:03
Proble mit Sessions		PHP Tipps 2005	7	07.02.2005 17:42
[Erledigt] Umstieg von Xampp auf Einzelkomponenten: Sessions aktivieren		PHP-Fortgeschrittene	1	19.01.2005 11:26
.htaccess - require valid-user und trotzdem referer zulassen	pixelcut	Server, Hosting und Workstations	2	05.01.2005 10:56
[Erledigt] Referer und GD Library		PHP-Fortgeschrittene	4	28.11.2004 16:08
[Erledigt] Usermanagement mit Sessions - Sicherheitsprobleme ?		PHP Tipps 2004	0	30.06.2004 09:49
Sessions, sessions und nochmal sessions		PHP-Fortgeschrittene	0	06.06.2004 00:36

23.05.2006, 16:06
Gast Beiträge: n/a	[Erledigt] Referer-Handling bei neuen Sessions Da der letzte (ich denke nun ziemlich abgeschlossener) Strang über Sessions doch recht viel hergab, möchte ich ein neues anregen. Und zwar zu einem wie ich finde recht kniffeligem Thema. In einer Anwendung soll einerseits jede Unterseite von außen diekt angewählt werden können, andererseits aber auch erkannt werden, wenn für einen Besucher die Sitzung abgelaufen ist und ihm dann zunächst eine Nachricht darüber angezeigt werden, die im ersten fall natürlich nicht angezeigt werden soll. Die Fälle sind voneinander somit zu unterscheiden. Folgendes wäre zu bedenken: Muss direkt gehen: - Ich gebe die URL im Browser ein - Ich komme von einer anderen Website durch einen Link auf eine Unterseite - Ich komme von http nach https - Ich komme von https der Website zurück nach http Muss Nachricht einblenden: - Ich komme von innerhalb der Website und die Session ist nicht mehr gültig, was auch beim Wechsel zwischen http und https geschehen kann. Mich würden Eure Lösungsansätze interessieren. Meine Lösung bedient sich des Wertes von $_SERVER['HTTP_REFERER'], der mit allen Domänen, unter denen die Website betrieben wird, vergliechen wird, was aber wegen des Wechsels http/https nicht ausreicht. @zergling: Du kannst wie gewohnt nach Anfänger verschieben und ich bin wie gewohnt der Meinung, dass diese Frage hier - auf der mittleren Ebene - grundsätzlich richtig ist.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

23.05.2006, 16:52
M3g4Star Erfahrener Benutzer Registriert seit: 23.08.2007 Beiträge: 1.510	http://faq-phpfriend.de/q/q-http-referer.html

23.05.2006, 17:05
Gast Beiträge: n/a	Klasse! Nicht, dass ich das nicht wüsste. Hättest Du denn auch einen sinnvollen Alternativvorschlag? ich denke, für die zum Glück wenigen sterblichen, die den Referer nicht mitsenden, wird sich die Anwendung so verhalten, als wären diese zum ersten mal auf der Website d.h. Nachricht über Session-Abluaf wird einfach nicht angezeigt.

23.05.2006, 19:11
Gast Beiträge: n/a	Zergling habe ich privat geantwortet und meine Gründe genannt, weshalb ich derzeit meine Lösung nicht veröffentlicht habe. Kann ja noch ggf. kommen. Ich möchte eine Diskussion, die sich nicht an meiner Lösung orientiert. --------------------- Die Session ist dann nicht mehr gültig, wenn ein spezieller Wert in der Session nicht mehr vorhanden ist, sagen wir $_SESSION['init'] != TRUE. Im Grunde dürfte in diesem Zustand $_SESSION gänzlich leer sein, da die Abfrage ganz zu Beginn einer Seite stattfindet und somit neue Werte nicht eingetragen werden. Also gilt an sich ebenfalls (! $_SESSION).

23.05.2006, 20:14
xabbuh Erfahrener Benutzer Registriert seit: 13.11.2005 Beiträge: 2.583	Wie willst du denn unterscheiden, ob die Session leer ist, weil sie ungültig ist oder ob sie leer ist, weil der Benutzer die Seite direkt aufgerufen hat?

23.05.2006, 21:40
Gast Beiträge: n/a	Jou xabbuh... genau deshalb habe ich diesen Strang gestartet. Um so etwas zu diskutieren. Der Unterschied steckt im Referer. Beim Direktaufruf ist dieser leer. (Mir ist klar, dass Referer nicht immer zu gebrauchen ist). Wie würdest Du es denn machen?

23.05.2006, 22:27
Gast Beiträge: n/a	Für jeden Besucher auf einer Website, der darin surft. Auch ohne eine Anmeldung, sofern er für ihn sichtbar Persönliches durchführen kann. Denke dabei anj einen Shop: Sessionende => Warenkorb geht verloren. Oder an ein CMS => Die Liste der zuletzt besuchten Seiten innerhalb der Site geht verloren. In beiden Fällen ist es sinnvoll, den Besucher darüber zu informieren, bevor man eine neue Sitzung startet.