Destruction de session impossible malgré toutes les précautions

[Tchupacabra]

Bonjour à tous,

après avoir beaucoup testé de scripts et fait de recherches... je ne parviens toujours à résoudre mon problème de destruction de session.

Cas classique : un site web avec dossier protégé par .htaccess et .htpasswd

/home.html :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="/admin/">Administration</a>

/admin/index.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php
session_start();
?>
<a href="deconnexion.php">Déconnection</a>

/admin/deconnexion.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?php
session_start();
$_SESSION = array();
$_COOKIE = array();
setcookie(session_name(), '', time() - 42000);
session_destroy();
header('Location: /home.html');
exit;

Avec ce code, malgré l'exécution de deconnexion.php, je parviens à retourner à /admin/ sans authentification !

Quel est le problème ?
Merci d'avance

[provirus]

De ce que je comprends à la fonction session_destroy(), elle ne ferait qu'enlever l'accès aux variables de sessions pour le script courant tant qu'il ne refait pas un session_ start() une seconde fois. Une fois refait, les anciennes variables sont toujours disponibles. Cette fonction est donc inutile pour ce que tu veux faire.

Ensuite, je crois que tu devrais simplement enlever session_start() et session_destroy(). D'après-moi session_start() risque d'écraser ton setcookie() même s'il est après. Tu ne désires pas utiliser les variables de la session dans deconnexion, alors ne fais pas cet appel.

En gardant juste le setcookie, je crois que ça devrait être correct.

HTH

[Tchupacabra]

Salut,

/admin/deconnexion.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
setcookie(session_name(), '', time() - 42000);
header('Location: /home.html');
exit;
?>

ne change rien...

J'ai également essayé avec ce code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<?php
error_reporting(E_ALL);
ini_set("display_errors", "1");
ini_set("url_rewriter.tags",""); 
ini_set("session.use_trans_sid", false);
session_start();
$_SESSION = array();
$_COOKIE = array();
unset($_SESSION);
unset($_COOKIE);
if (ini_get("session.use_cookies")) {
	$params = session_get_cookie_params();
	setcookie(session_name(), '', time() - 42000, $params["path"], $params["domain"], $params["secure"]);
}
session_unset();
session_destroy();
header("Location: /home.html");
?>

sans succès non plus...

Actuellement, je suis obligé de supprimer mes cookies et connexions actives pour forcer l'authentification...

[julp]

J'espère avoir compris ...

Citation:

Envoyé par Tchupacabra

Cas classique : un site web avec dossier protégé par .htaccess et .htpasswd

Donc ça n'a strictement rien à voir avec PHP et/ou ses sessions. Par ailleurs, il me semble qu'il n'existe aucun moyen portable pour invalider une authentification HTTP (sinon en renvoyant une erreur 401 ?).

[Tchupacabra]

p'tit mélange de pinceaux alors... merci julp.
bon ok je dégage le htpasswd.
par contre, pour un seul user... login et pass directement dans le php, est-ce une bonne idée ?