Discussion :

[tuxi56]

Bonsoir tout le monde

Je suis en train de mettre en place une application web qui utilise l'authentification HTTP et les sessions pour l'accès utilisateur. Pour le loguer pas de problèmes, tout marche ; mais quand je veux détruire la session pour une déconnexion avec ce script :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<?php
 
session_start();
 
$_SESSION = array();
session_destroy();
 
?>

lorsque je reviens en arrière ou que je redemande une page de l'application, je suis toujours identifié, jusqu'à ce que je ferme firefox ou que j'efface les traces "sessions d'identifications" ...

Je ne vois pas où est le problème, peut être une mauvaise configuration de mon serveur (les valeurs de PHP sont celles par défaut).

Merci de votre aide

[juJuv51]

Cher quel hébergeur tu es?

je ne sais pas si tu utilises:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
// On supprime ttes les variables de la session
session_unset();
 
// On détruit totalement la session
session_destroy();

ça fonctionne?

[trotters213]

Essaie si ça ne marche toujours pas :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

unset($_SESSION["tavariable"])

Tu devrais également vérifier la valeur de retour de session_destroy() (ça doit être true)

[tuxi56]

bonsoir

je suis mon propre hébergeur

je développe le script sur easyphp, mais sur mon serveur le résultat est le même, avec les valeurs par défaut de php en ce qui concerne les sessions.

voici le nouveau code de logout.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
error_reporting(E_ALL);
 
//Détruire l'authentification
$auth = FALSE;
 
//Détruire le contenu de $_SERVER[]
$_SERVER['PHP_AUTH_USER'] = NULL;
$_SERVER['PHP_AUTH_PW'] = NULL;
 
// On supprime ttes les variables de la session
session_unset();
 
// On détruit totalement la session
$test = session_destroy();
 
if ($test) {
	echo "session détruite";
} else {
	echo "session pas détruite";
}

Le résultat est : "session détruite", et je suis toujours identifié ... je suis un peu blasé ^^

j'ai essayé de modifier le code pour me baser non plus sur une authentification HTTP mais par cookie, mais a peu près tout mon code est à revoir ...

[trotters213]

au lieu de faire session_unset, session_destroy fait ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
// Détruit toutes les variables de session
$_SESSION = array();
 
// Détruit le cookie de session
if (isset($_COOKIE[session_name()])) {
   setcookie(session_name(), '', time()-42000, '/');
}
 
// Détruit la session la session.
session_destroy();

[tuxi56]

salut

très bizarre, ca ne fonctionne toujours pas

je ne sais pas si c'est lié, mais en plaçant

Code PHP :

Sélectionner tout - Visualiser dans une fenêtre à part

print session_id();

sur une page avant déconnexion et sur la page de déconnexion, le PHPSESSID est identique (normal), mais en retournant sur la page précédente, cet ID change, toujours en étant identifié ...

est-ce lié à la méthode d'authentification ? Merci de votre aide en tout cas

[kain_tn]

Si j'ai bien compris tu essaye de détruire une session que tu as ouverte sur une autre page?
la fonction session_destroy t'affiche quel warning?