Как авторизоваться на сессиях?

Question

[Андрей Васоц]

Правильная ли последовательность? :
1) Имеется форма входа (логин и пароль). Вверху этой формы я пишу

<?php
session_start();
?>

К форме (2 инпута) привязан файл авторизации :

<?php
$connection = mysqli_connect('localhost', 'root', '', 'Hunter') or die(mysqli_error());

if (isset($_POST['submit'])) 
{
    if (empty($_POST['login'])) 
    {
        $info_input = 'Вы не ввели логин';
    }
    elseif (empty($_POST['password'])) 
    {
        $info_input = 'Вы не ввели пароль';
    }
    else 
    {    
        $login = mysqli_real_escape_string($connection, $_POST['login']); 
        $password = $_POST['password'];            
        $user = mysqli_query($connection, "SELECT `id` FROM `admin` WHERE `login` = '$login' AND `password` = '$password'");
        $id_user = mysqli_fetch_array($user);
                
        if (empty($id_user['id'])) 
        {
            $info_input = 'Введенные данные не верны';
        }
        else 
        {
            $_SESSION['password'] = $password; 
            $_SESSION['login'] = $login; 
            $_SESSION['id'] = $id_user['id']; 

			echo "Вы успешно вошли на сайт!<script>window.location = 'index.php';</script>";			
        }     
    }
}
        
$info_input = isset($info_input) ? $info_input : NULL;
echo $info_input;

?>

Проверяется логин и пароль из бд Hunter, таблицы admin. Всё окей, ввели данные > перебросило на нужную страницу
Сессия сейчас работает, верно?
Кнопка выхода из сессии :

<button class="logout" onclick="document.location.replace('?exit');">Logout</button>

<?php
if(isset($_GET['exit'])) {
session_destroy(); 
#redirect
header('Location: index.php');
exit;
}
?>

После нажатия сессия должна полностью быть уничтожена и нас должно перекинуть на главную страницу
Выдаёт ошибку "Trying to destroy uninitialized session"
В чём моя ошибка и правильна ли последовательность?

Comments

[Шам]

перед уничтожением сессии её нужно инициировать.

[t_timaa]

Шам: можно поподробней ?

[Шам]

t_timaa: в мануале приведена полная процедура удаления сессии, просто скопируйте. По коду - $password не санирована, значит подвержена инъекциям.

[t_timaa]

Шам: Хорошо, спасибо. А сама последовательность действия правильна? начало сессии идёт с формы входа?

[Шам]

Да, но если юзер уже залогинен, то зачем ему форма входа? Если определена $_SESSION['id'], то нужно другое действие. Без session_start() переменная $_SESSION недоступна. К тому же, кроме $_GET['exit'] в ссылку логаута нужно добавить уникальный хеш-токен на основе id сессии, который проверять перед уничтожением сессии. Иначе юзер не в полной мере будет контролировать собственный логаут.

[t_timaa]

Шам: эта форма входа только для одного человека, одмена

[Stalker_RED]

t_timaa: Я размещаю тут на тостере картинку, и указываю такой путь: <img src="//ваш_сайт.ру/?exit=1">
Ваш браузер пытается эту картинку отобразить, делает запрос по этому адресу и оп! - админ разлогинен.

Answer 1

[Vladislav]

Trying to destroy uninitialized session

Ну судя по всему у тебя на этой страницы сессия еще не инициализирована, то есть:

session_start(); // инициализируешь, чтобы было, что уничтожать потом
session_unset();
session_destroy();

Comments

[t_timaa]

Cannot send session cache limiter - headers already sent . Я запускал сессию на форме входа, её надо повторно запускать на следующей странице? (которая открывалась после ввода данных)

[Vladislav]

Перед этим кодом у тебя не должно быть никакого вывода. Ни хедеров, ни хтмл и тд.
Но это уже отдельный вопрос его можно найти тоже

[Stalker_RED]

t_timaa: И да, на каждой странице где вы хотите что-то делать с сессией, ее нужно инициализировать.