PHP - SessionProbleme

[Tomarus]

Dieses Sache regt mich auf >_>

PHP-Code:

<?php include ('global.php');
session_start();

if (isset ($_COOKIE['chat_user']) && isset ($_COOKIE['chat_pass']))
{
    $username = $_COOKIE['chat_user'];
    $password = $_COOKIE['chat_pass'];
}
else
{
    $username = $_POST['user'];
    $password = md5($_POST['pass']);
}

$select = mysql_query ('SELECT `ID`, `pass` FROM `chat_users` WHERE `user` = "'.$username.'"');
while ($row = mysql_fetch_array ($select))
{
    if ($password == $row[1])
    {
        $_SESSION['chat_logged'] = true;
        $_SESSION['chat_logged_as_id'] = $row[0];
        $_SESSION['chat_logged_as'] = $username;
        $_SESSION['chat_logged_pass'] = $row[1];

        if ($_POST['cookie'] == true && !isset ($_COOKIE['chat_user']))
        {
            setcookie ('chat_user', $_POST['user'], time() + 60*60*24*365);
            setcookie ('chat_pass', md5($_POST['pass']), time() + 60*60*24*365);
        }

        mysql_query ('UPDATE `chat_users` SET `lastlogin` = NOW(), `active` = 1 WHERE `user` = "'.$username.'"');
        mysql_query ('INSERT INTO `chat_messages` (`msg`, `user`, `zeit`) VALUES ("'.$username.' hat sich gerade eingeloggt!", "-Chatbot-", NOW())');
        header ('Location: chat.php?'.session_name().'='.session_id());
        exit();
    }
} ?>

Womit das mit dem SID gelöst wäre, der Rest aber nicht :/
Was mir aufgefallen ist: Ich habe das gleiche einmal für ein Login in meinem 1337-Forum verwendet. Beim ersten Mal klappte es, und es wurden auch alle $_SESSION-Variablen richtig ausgegeben. Wenn ich das Dokument dann aber noch ein zweites Mal aufrufe, geht wieder gar nichts ;_; Ich dachte, die Sessiondaten werden gelöscht, wenn man den Browser schließt? Scheint mir ja irgendwie damit zusammenzuhängen ... aber ich hab irgendwie grad überhaupt keine Ahnung mehr ;_; Hat nicht zufällig schon mal irgendwer so einen Session-Login gemacht und könnte mir seine Erfahrungen vermachen? ;_; Oder alternativ, wie könnte ich Sessions ... automatisch manuell ;_; löschen lassen, sobald der Besucher nicht mehr auf der Seite verweilt?

[Manni]

Ich denke mal, Sessions bleiben auch länger bestehen, auch wenn man den Browser schließt. Sie werden erst gelöscht, wenn du dich neu ins Internet einloggst und eine adere IP Adresse bekommst.
Manuelles Löschen könntest du nur mit JavaScript machen, indem Javascript beim Schließen der Seite ein PHP Script aufruft, das dich ausloggt. Ansonsten bau einfach einen Logoutknopf ein und benutz session_destroy()

[Chocwise]

Ich denke mal, Sessions bleiben auch länger bestehen, auch wenn man den Browser schließt. Sie werden erst gelöscht, wenn du dich neu ins Internet einloggst und eine adere IP Adresse bekommst.
Manuelles Löschen könntest du nur mit JavaScript machen, indem Javascript beim Schließen der Seite ein PHP Script aufruft, das dich ausloggt. Ansonsten bau einfach einen Logoutknopf ein und benutz session_destroy()

...

Standardmäßig sind Sessions nicht IP-Abhängig.
Man kann es allerdings so einrichten und einen zusätzlichen Schutz einbauen, das man nicht aus Versehen eine URL weitergibt, in der die eigene SID steht, und der Empfänger dann die Session übernehmen kann, indem man die IP in einer Sessionvariable speichert und das Nutzen der Session nur deinem Client mit dieser IP erlaubt.

[dead_orc]

Rein interessehalber: Wie überprüfst du dann, ob der User eingeloggt ist?
Könntest du das ganze evtl. mit einem Test-Zugang hochladen?

[Tomarus]

Naja ... halt Loginformular -> Loginkontrolle (siehe oben) -> und dann, wenn man zum Beispiel im meinem tollen Forum einen Beitrag schreiben will, wird das nochmal kontrolliert ... oder meinst du, es würde helfen, wenn ich die $_SESSION['chat_logged'] wegließe? Wobei ich das auch nochmal einzeln kontrollieren lass ... könnt die also auch weglassen, ich glaube aber kaum, dass es an der liegt, dass sich die gesamte Seite nicht mehr wirklich aufrufen lässt ...

Das Formular funktionierte ja ... nur sobald ich das session_start() in die Seite schreib, will halt die ganze Seite nicht mehr ._.