poprawne wylogowanie z aplikacji Opcje

[morrison]

witam,

zrobiłem aplikacje, ale mam jeszcze problem z poprawnym wylogowaniem usera. otoz usuwam sesje poprawnie, ale gdy user sie wyloguje to kiedy wciska wstecz w przegladarce(raz w IE lub kilka razy w firefox) to udaje mu sie wrocic do autoryzowanej strony i zobaczyc zawartosc. co prawda gdy prubuje wtedy kkliknac cos to wyrzuca go z powrotem do strony wylogowania. ale i tak jest zle.

jaki jest sposob zeby usunac z przegladarki te dane aby juz nie mogl ich zobaczyc user po wylogowaniu?

[wipo]

Trzeba wyczyścić cache w przeglądarce

[morrison]

wydaje sie sluszne, ale jak to mozna zrobic?

[wipo]

Zdalnie to zdaje mi się że się nie da

[morrison]

jest wiele komercyjnych aplikacji w php np. gdzie zostal rozwiazany ten problem. pytanie wiec: jak to zrobic?

[Jarod]

jest wiele komercyjnych aplikacji w php np. gdzie zostal rozwiazany ten problem. pytanie wiec: jak to zrobic?

W aplikacji, którą pisałem nie mogłem pozwolić na nieautoryzowany dostęp. Problem rozwiązałem w następujący sposób. Na początku pliku z kontrolerem wywołuję plik:

[PHP] pobierz, plaintext 
<?php
require_once('verify.php');
?>
[PHP] pobierz, plaintext 

Zawartość pliku verify:

[PHP] pobierz, plaintext 
<?php
 
	//**************************************************
	//**  Skrypt weryfikujący zalogowanie w systemie
	//**************************************************
 
	require_once('function.php');
	require_once('config.inc.php');
 
 
 
	// JEŚLI NIE ISTNIEJE SESJA UŻYTKOWNIKA TO POWRÓT NA STRONĘ LOGOWANIA
	if ( (!isset($_SESSION['LOGIN'])) && (!isset($_SESSION['HASLO'])) )
	{
		?>
		<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
		<html xmlns="http://www.w3.org/1999/xhtml" lang="pl" xml:lang="pl">
 
		<head> 
			<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2" />
			<meta http-equiv="Content-language" content="pl" />
			<meta name="Description" content="Firma X" />
			<meta name="Author" content="Sebastian Sowiński" />
			<meta name="Robots" content="all" />
			<meta name="Pragma" content="no-cache" />
			<meta name="Cache-Control" content="no-store, no-cache, must-revalidate" />	  
			<link rel="stylesheet" href="css/authorization.css" type="text/css" />
 
			<title>DOSTĘP WZBRONIONY</title>
		</head>
			<body>
 
				<div id="log">
					<img class="stop" src="img/stop.gif" width="83px" height="83px" alt="Stop" name="Stop" border="0" />
					<p class="brakautoryzacji">Nie masz uprawnień !</p>
				</div>			
 
			</body>
		</html>
 
		<?php
			// Logowanie operacji
			if ( $trybLogowania > 0 ) dodajLog($sciezkaDoPlikuZlogami,'SYSTEM','Możliwa próba obejścia zabezpieczeń - nieudana weryfikacja !!!');
 
			echo '<META HTTP-EQUIV='Refresh' CONTENT='4; URL=index.php'>';
			exit();
	}
?>
[PHP] pobierz, plaintext 

Sprawdza się znakomicie.

[morrison]

hm. rozumiem ze ten kod:

[PHP] pobierz, plaintext 
<?php
echo '<META HTTP-EQUIV='Refresh' CONTENT='4; URL=index.php'>';
			exit();
?>
[PHP] pobierz, plaintext 

rozwiazuje caly problem. sprawdze jak tylko bede mogl,dzieki!:)

[Jarod]

hm. rozumiem ze ten kod:

[PHP] pobierz, plaintext 
<?php
echo '<META HTTP-EQUIV='Refresh' CONTENT='4; URL=index.php'>';
			exit();
?>
[PHP] pobierz, plaintext 

rozwiazuje caly problem. sprawdze jak tylko bede mogl,dzieki!:)

Zamień exit() na die();
W pliku index.php jest kod odpowiedzialny za autoryzację. Tzn formularz itp.. Najważniejsze jest to, że jak sprawdzisz, że sesja nie istnieje to przekierowujesz.
pzdr

[morrison]

zrobilem cos takiego, ale nie dziala:

[PHP] pobierz, plaintext 
<?php
/* sprawdza za kazdym wykonaniem czy w ostatnich 10min user korzystal z aplikacji
 jesli nie to nastepuje automatyczne wylogowanie
 * jesli user sie dopiero zalogowal to pobiera nazwe i haslo, jesli jest juz zal
ogowany to sprawdza czy dane sa poprawne
 * ustawia czas waznosci sesji
 */
function check_login() {
 
//sprawdzamy i ustawiamy czas waznosci sesji
$_SESSION['intTimeoutSeconds'] = 600;	//ustaw sekundy do timeout'u 600 = 10min
if(isset($_SESSION['intLastRefreshTime'])) {
	if(($_SESSION['intLastRefreshTime'] + $_SESSION['intTimeoutSeconds']) < time()) {
			print '<META HTTP-EQUIV="Refresh" CONTENT="5"; URL="logout.php">';
		header('Location: logout.php');
		exit;
	}
}
$_SESSION['intLastRefreshTime'] = time();
 
//utworzenie krotkich nazw zmiennych i spr. czy dane sa przek. w zm. sesji
if (!isset($_SESSION['user_name']))
	$_SESSION['user_name'] = @$_POST['user_name'];
if (!isset($_SESSION['password_']))
	$_SESSION['password_'] = @$_POST['password_'];
 
// jesli uzytkownik znajduje sie w bazie danych rejestracja identyfikatora
if (loguj($_SESSION['user_name'], $_SESSION['password_'])) {
	$_SESSION['uwierz_uzyt'] = $_SESSION['user_name'];
	//sprawdzenie czy zalogowany posiada prawa admina czy zwyklego usera
	$connect = lacz_bd();
	$query = "select admin from cms_users where user_name='".$_SESSION['user_name']."'";
	$result = mysql_query($query, $connect);
	$_SESSION['admin'] = mysql_result($result, 0, 0);
	mysql_free_result($result);
 
} else { // nieprawidlowe logowanie
	print '<META HTTP-EQUIV="Refresh" CONTENT="5"; URL="logout.php">';	
	header('Location: logout.php');
	exit();
}
 
session_register('czas_zalogowania_test');
if($_SESSION['czas_zalogowania_test'] == false){
	session_register('czas_zalogowania');
	$_SESSION['czas_zalogowania'] = date("H:i:s a");
	$_SESSION['czas_zalogowania_test'] = true;
}
 
}
?>
[PHP] pobierz, plaintext 

ogolnie moze to nie pasuje do mojego skryptu...

[Jarod]

<OT>Po co używasz znaku małpy w zapisach:

[PHP] pobierz, plaintext 
<?php
$_SESSION['password_'] = @$_POST['password_'];
?>
[PHP] pobierz, plaintext 

:]</OT>


Ja w swoim skrypcie sprawdzam czy w sesji istnieje zapisany login i hasło. Jeśli tak - użytkownik jest zalogowany. Jeśli nie - wylogował się. Jeśli się wylogował (czyt. w zmiennej sesyjnej nie ma zapisanego loginu i hasła) to jeśli próbuje się dostać do innych podstron/akcji/plików jest kierowany na stronę logowania (po krótkim czasie na przeczytanie "brak dostępu" etc.).
W funkcji, którą podałeś nie dopatrzyłem się żebyś to sprawdzał w sposób, który podałem niżej.

[morrison]

@ - uzywam poniewaz gdy za pierwszym razem wykonuje sie ta funkcja, czyli kiedy user wysyla formularz z loginem i haslem to wtedy do zmiennych podstawiaja sie te dane. potem gdy juz sa ustawione te zmienne i nie ma nic w POST @ powoduje ze nie wyswietla sie notice z brakiem wartosci w POST.

moja funkcja "loguj" sprawdza za kazdym razem uwierzytelnienie w bazie.

natomiast to:

[PHP] pobierz, plaintext 
<?php
print '<META HTTP-EQUIV="Refresh" CONTENT="5"; URL="logout.php">';
?>
[PHP] pobierz, plaintext 

nie powoduje u mnie przejscia do wskazanej strony, lecz caly czas przeladowuje sie pusta strona.

byc moze to ze podstawiam dane z POST do hasla i loginu zawsze kiedy te zmienne sesyjne sa puste powoduje ze przegladarka wchodzi wstecz do autoryzowanej strony...? no ale tak juz to skonstruowalem. pytanie co powinienem poprawic

[Jarod]

Przyjrzyj się jeszcze raz jak ja to zrobiłem.

[PHP] pobierz, plaintext 
<?php
if ( (!isset($_SESSION['LOGIN'])) && (!isset($_SESSION['HASLO'])) )
	{
		//tutaj jakiś komunikat...
		echo '<META HTTP-EQUIV='Refresh' CONTENT='4; URL=index.php'>';
		die();
	}
?>
[PHP] pobierz, plaintext 

Ja podczas logowania ustawiam zmienne sesyjne LOGIN i HASŁO i tylko je sprawdzam, bo jeśli istnieją tzn że użytkownik jest zalogowany. W tym co Ty podałeś można się pogubić. Teraz nie mam za bardzo czasu ale jutro sobie ten kod sformatuje i oblukam. Ewidentnie masz gdzieś błąd.. U mnie naciskanie przycisku wstecz nic nie da ba za każdym razem na samym początku skryptu sprawdzane jest czy istnieje sesja jeśli nie to jest przekierowywany na stronę logowania. W ten sposób też nie obejdziesz logowania (nie odpalisz ręcznie żadnej podstrony systemu bez hasła bo dostaniesz ostrzeżenie i zobaczysz stronę logowania - sprawdzano )