Привет!

Есть php скрипты, один из которых авторизирует юзера через сессии (используется $_SESSION["userd_id"] для переменных сессии), остальные юзают выставленную переменную в качестве идентификатора сессии.

Проблема в том, что на одном хостинге это работает (из любой директории), на другом - с непостоянной регулярностью (из корневого Document Root - всегда, а из поддиректорий - не всегда). На втором хостинге для сайта имеется несколько алиасов (www.host.ru, host.ru, www.host.nnov.ru). Если из-за этого, то почему из Document Root директории авторизирует всегда ?!

ПОд термином "не работает" я имею ввиду - после авторизации пользователя другие скрипты получают значение переменной $_SESSION["userd_id"] = '', а не id.

Сравнивал результат вывода phpinfo() - для сессий одинаковый и для первого и второго хостинга. На рабочем хостинге стоит php 4.3.1, на нерабочем - 4.3.3 (но вряд ли от этого что-то меняется).

То ли сессия выставляется для неправильного пути, то ли expiration time у нее кривой при загрузке скриптов из поддиректорий ?!

Ваши соображения ?

Буду рад любым комментариям.

gregzem, попробуй запретить использование кук для хранения ID сессии.

Попробуй принудительно перебрасывать с дублирующих доменов на основной ещё в начале работы.

Мне кажется при перебрасывании с дублирующих доменов погибнет сессия.

На самом деле я пробовал работать полностью с одним доменом: то есть беру домен www.host.ru и все ссылки у меня на www.host.ru/dir/script.php, www.host.ru/dir/script1.php, www.host.ru/dir/script2.php. Все равно, дальше первой страницы после авторизации не пускает. В остальных скриптах массив $_SESSION пуст. Вот такая ботва!

МОжно ли как-то отследить какие текущие параметры сессии установлены ? Штука в том, что с помощью стандартной функции PHP для получении параметров сессии мне возвращается path ="/", expires = "0" остальные два поля - пустые. Это ИМХО неправильно.

В начале инициализирующего модуля (у тебя ведь есть такой?) ещё до session_start() проверяешь хост и если он не "www.host.ru", делаешь header("Location: http://www.host.ru/");
Ну остаток запроса, само собой, дописываешь.
Т.о. открывается сессия всегда на одном домене. На остальных до её открытия скрипт не доходит.

Прочитать _куки_ может только домен, его записавший. Security.
Выход: либо не использовать куки,
либо работать только с одним доменом, а с остальных перебрасывать на главный.

Орлис писал(а):

Прочитать _куки_ может только домен, его записавший. Security

Прочитать куки вообще никто не может. Браузер посылает куки тому домену, для которого они выставлены. Соответственно, никто не запрещает выставить куки для другого домена.