[Erledigt] Session: automatischer Set-Cookie Header mit Expire bei PHP 5.3.x

nedelin · 28.10.2011, 19:00

Ich habe bis dato lokal (Windows XP SP3) unter xampp 1.6.8 mit PHP 5.2.6 entwickelt (Server 1). Zur Migration auf PHP 5.3.x. habe ich heute parallel dazu xampp 1.7.7 mit PHP 5.3.8 installiert (Server 2). Unter der neuen PHP-Version erlebe ich Phänomen, das ich bisher nicht nachvollziehen kann.

Die Requests sehen folgendermaßen aus:

Server 1: Request 1
----------------------------------------------------------

Code:

GET / HTTP/1.1
Host: local
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.23) Gecko/20110920 Firefox/3.6.23
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive

HTTP/1.1 200 OK
Date: Fri, 28 Oct 2011 16:17:42 GMT
Server: Apache
Set-Cookie: SID=22b7b29f0dbfc32a9e287dab559870a7; path=/; HttpOnly
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Language: de-de
X-Frame-Options: DENY
Content-Length: 6077
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

Server 1: Request 2
----------------------------------------------------------

Code:

GET / HTTP/1.1
Host: local
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.23) Gecko/20110920 Firefox/3.6.23
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Cookie: SID=22b7b29f0dbfc32a9e287dab559870a7

HTTP/1.1 200 OK
Date: Fri, 28 Oct 2011 16:17:46 GMT
Server: Apache
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Language: de-de
X-Frame-Options: DENY
Content-Length: 6114
Keep-Alive: timeout=5, max=99
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

Hier ist alles i.O. Nun die Requests unter der aktuellen PHP-Version:

Server 2: Request 1
----------------------------------------------------------

Code:

GET / HTTP/1.1
Host: local
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.23) Gecko/20110920 Firefox/3.6.23
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive

HTTP/1.1 200 OK
Date: Fri, 28 Oct 2011 16:25:27 GMT
Server: Apache
Set-Cookie: SID=90f851i62hoeh2c54rgjd4umt4; path=/; HttpOnly
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Content-Language: de-de
X-Frame-Options: DENY
Content-Length: 6065
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

Server 2: Request 2
----------------------------------------------------------

Code:

GET / HTTP/1.1
Host: local
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.2.23) Gecko/20110920 Firefox/3.6.23
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de-de,de;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive
Cookie: SID=90f851i62hoeh2c54rgjd4umt4

HTTP/1.1 200 OK
Date: Fri, 28 Oct 2011 16:25:35 GMT
Server: Apache
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: SID=90f851i62hoeh2c54rgjd4umt4; expires=Tue, 18-Oct-2011 16:25:35 GMT; path=/; httponly
Content-Language: de-de
X-Frame-Options: DENY
Content-Length: 6065
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

Beim zweiten Response wird ohne mein Zutun erneut ein Set-Cookie Header mit der korrekten Session-ID gesetzt; das Verfallsdatum liegt in der Vergangenheit. Dadurch beginnt das Ganze von vorn.

Ein weiteres WTF: Löse ich den ersten Request unter Server 1 aus, wechsle auf Server 2 und löse erst dann den zweiten Request aus, wird der fragliche Header nicht gesetzt.

Ich habe das Ganze auch auf einem Produktionsserver mit PHP 5.3.5 getestet - keine Probleme.

dr.

tr0y · 28.10.2011, 19:02

Timezone (korrekt) gesetzt ? O.o

nedelin · 28.10.2011, 19:09

Zitat:

Zitat von tr0y

Timezone (korrekt) gesetzt ? O.o

Jepp, ist gesetzt auf "Europe/Berlin".

dr.

tr0y · 28.10.2011, 19:43

Ich frag mich ja warum genau 10 Tage in der Vergangenheit, da is keinerlei "berechenbare" logik für mich hinter..

Sowas könnte möchstens passieren wenn die Session lifetime einen entsprechenden minuswert angenommen hätte, ist aber leider genauso absurd denke ich wie es klingt ^^

nedelin · 28.10.2011, 20:06

Zitat:

Zitat von tr0y

Ich frag mich ja warum genau 10 Tage in der Vergangenheit

Habe auch schon alle relevanten Codes durchleuchtet... bisher ist mir nichts aufgefallen:

PHP-Code:

  ini_set( 'session.name' , SSN_NAME );

[ ... ]

ini_set( 'session.save_path' , SSN_PATH );

ini_set( 'session.use_cookies' , 1 );
ini_set( 'session.use_only_cookies' , 1 );
ini_set( 'session.use_trans_sid' , 0 );

ini_set( 'session.gc_probability' , 1 );
ini_set( 'session.gc_divisor' , 1 / 0.01 );
ini_set( 'session.gc_maxlifetime' , 86400 );

session_set_cookie_params( 0, '/', '', '', 1 );        

if( FALSE == session_start( ) )
{
    [ ... ]
}

Auch mit den Default-Werten, also ohne die ganzen ini_sets verhält sich das Ganze nicht anders...

Zitat:

Zitat von tr0y

[...] ist aber leider genauso absurd denke ich wie es klingt ^^

Wenn man alles Absurde wegnimmt, müßte das einzig Denkbare doch übrigbleiben, nicht wahr?

dr.

tr0y · 28.10.2011, 20:09

Genau! ,\\// Lebe lang und in Frieden.

nedelin · 28.10.2011, 20:11

Hab' ich unfreiwillig zitiert...?

dr.

tr0y · 28.10.2011, 20:22

Zitat:

Zitat von dr. ?

Hab' ich unfreiwillig zitiert...?

dr.

Fast, sinngemäß schon

StarTrek V - J.M. Dillard

"Wenn man das Unmögliche eliminiert, so muß der Rest der Wahrheit entsprechen."

nedelin · 28.10.2011, 20:33

Klingt jedenfalls logisch. und zuversichtlich.

dr.

nedelin · 28.10.2011, 21:33

Habe den oben gezeigten Session-Code isoliert und separat laufen lassen - keine Probleme. Nun gut, jetzt weiss ich wenigstens, dass der Wurm tief im Framework steckt und die unterschiedlichen PHP-Versionen lediglich der Fingerzeig auf irgendeine Schweinerei... Denke, ich suche erst einmal nach der "magischen 10".

Danke erst einmal,
dr.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Cookie setzen und auslesen	Rutor	PHP Einsteiger	8	28.01.2011 08:55
[Erledigt] $_SESSION frage	tomnar	PHP Tipps 2010	24	09.11.2010 19:37
Web Authentication Cookie oder Session	Lightware	Scriptbörse	7	10.09.2009 11:32
[Erledigt] SESSION / COOKIE - Problem	redox	PHP-Fortgeschrittene	2	25.08.2009 15:58
SessionHandler - Sessions in einer Datenbank	#Avedo	Software-Design	11	04.05.2009 15:44
[Erledigt] Session Daten bei F5 weg; Session Cookie noch da	Technohead	PHP Tipps 2009	15	04.03.2009 12:10
https header und Cookie	TailerD	PHP Tipps 2008	5	26.01.2008 19:54
Session in Session	tinchen	PHP Tipps 2007	22	21.03.2007 19:53
Session + header () = Referer	nikosch	PHP-Fortgeschrittene	6	16.09.2006 00:52
session und cookie	LP	PHP Tipps 2006	1	29.08.2006 17:07
[Erledigt] Benutzername nach Login noch benötigt- Cookie oder Session?		PHP Tipps 2005-2	1	30.10.2005 09:20
[Erledigt] Session aus Cookie zuordnen		PHP Tipps 2005-2	6	22.08.2005 17:36
bitte um hilfe wegen cookie() und header()	d4rki	PHP Tipps 2005	2	21.04.2005 19:45
Cannot send session cookie		PHP Tipps 2005	1	14.02.2005 14:48
Cannot send session cookie - headers already sent...		PHP Tipps 2004	12	23.07.2004 10:31


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

28.10.2011, 19:02
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Timezone (korrekt) gesetzt ? O.o __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

28.10.2011, 19:43
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Ich frag mich ja warum genau 10 Tage in der Vergangenheit, da is keinerlei "berechenbare" logik für mich hinter.. Sowas könnte möchstens passieren wenn die Session lifetime einen entsprechenden minuswert angenommen hätte, ist aber leider genauso absurd denke ich wie es klingt ^^ __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

28.10.2011, 20:09
tr0y Erfahrener Benutzer Registriert seit: 26.07.2010 Beiträge: 4.874 PHP-Kenntnisse: Fortgeschritten	Genau! ,\\// Lebe lang und in Frieden. __________________ Lasse mir ohne Anwendung von Gewalt Dinge schenken, Amazon weiß darüber bald mehr.

28.10.2011, 20:11
nedelin Benutzer Registriert seit: 06.05.2011 Beiträge: 98 PHP-Kenntnisse: Fortgeschritten	Hab' ich unfreiwillig zitiert...? dr.

28.10.2011, 20:33
nedelin Benutzer Registriert seit: 06.05.2011 Beiträge: 98 PHP-Kenntnisse: Fortgeschritten	Klingt jedenfalls logisch. und zuversichtlich. dr.

28.10.2011, 21:33
nedelin Benutzer Registriert seit: 06.05.2011 Beiträge: 98 PHP-Kenntnisse: Fortgeschritten	Habe den oben gezeigten Session-Code isoliert und separat laufen lassen - keine Probleme. Nun gut, jetzt weiss ich wenigstens, dass der Wurm tief im Framework steckt und die unterschiedlichen PHP-Versionen lediglich der Fingerzeig auf irgendeine Schweinerei... Denke, ich suche erst einmal nach der "magischen 10". Danke erst einmal, dr.