Ik gebruik onderstaand login script. Werkt prima, alleen in internet explorer als je soms de back button van je browser gebruikt komt er onderstaande error. Zou dit aan de sessie liggen ofzo ? En wat kan ik eraan doen ?:

Error :

Code:

De webpagina is verlopen 
   
   Meest waarschijnlijke oorzaak:
•De lokale kopie van deze webpagina is verouderd en u dient de webpagina opnieuw te downloaden.
 
   Mogelijke acties: 
     Klik op de knop Vernieuwen op de werkbalk als u de pagina opnieuw wilt laden. Na het vernieuwen moet u misschien weer naar de specifieke webpagina gaan of de informatie opnieuw opgeven.

Script :

Code:

<?php
if (isset($_POST['gebruiker'], $_POST['wachtwoord']))
{
    loginaction();
}
else
{
        sessioncheck();
}

function loginaction()
{
    
    $gebruikers = array();
    $gebruikers['admin'] = 'site';
    
    if(array_key_exists($_POST['gebruiker'], $gebruikers))
    {
        if($_POST['wachtwoord'] == $gebruikers[$_POST['gebruiker']])
        {
            $_SESSION['login']['gebruiker'] = sha1(md5($_POST['gebruiker']));
            $_SESSION['login']['wachtwoord'] = sha1(md5($_POST['wachtwoord']));
        }
        else
        {
            showform();
            exit();
        }
    }
    else
    {
        showform();
        exit();
    }
}

function sessioncheck()
{
    if(!isset($_SESSION['login']['gebruiker']) || !isset($_SESSION['login']['wachtwoord']))
    {
        showform();
        exit();
    }
}

function showform()
{
?>
<meta http-equiv="REFRESH" content="0;URL=http://www.site.com/index.php">
<?php
}
?>

Ik denk dat dat komt doordat je een POST formulier verstuurd. Als je de waarden via de URL gaat meegeven (GET) ga je dit probleem niet hebben.

knopje 'terug' bouwen op je website zelf en je hebt nergens meer last van...

Klopt, want je post iets dus in principe gaat hij er dan van uit dat er iets veranderd is. je zou een forward moeten gebruiken en natuurlijk een echte terug knop maken.

Origineel gepost door Ewald Vanderveken

Ik denk dat dat komt doordat je een POST formulier verstuurd. Als je de waarden via de URL gaat meegeven (GET) ga je dit probleem niet hebben.

Ja, maar GET is heel erg onveilig. Dus gewoon POST blijven gebruiken en inderdaad zelf een knopje terug maken.

Gewoon een POST gebruiken en een harde link terug plaatsen. Je kan eventueel bij het inloggen vinden waar de bezoeker vandaan komt door bijvb in de get een urlencoded linkje naar die pagina mee te geven in de form waarna de <terug> link deze urlencoded link in zich op neemt.

Origineel gepost door Damiaan Reijnaers

Ja, maar GET is heel erg onveilig. Dus gewoon POST blijven gebruiken en inderdaad zelf een knopje terug maken.

POST is net zo onveilig, ik weet niet hoe je er bij komt dat GET onveiliger is?

Origineel gepost door Vincent

POST is net zo onveilig, ik weet niet hoe je er bij komt dat GET onveiliger is?

Het wordt veiliger dan GET beschouwd omdat de gegevens niet in de URL staat, dat is minder veilig. In de log van sommige routers bijvb zie je alleen de URL's en niet de POST, POST is dan dus veiliger. Maar er zijn ook andere manieren om hier achter te komen....

Origineel gepost door D. Koop

Het wordt veiliger dan GET beschouwd omdat de gegevens niet in de URL staat, dat is minder veilig. In de log van sommige routers bijvb zie je alleen de URL's en niet de POST, POST is dan dus veiliger. Maar er zijn ook andere manieren om hier achter te komen....

Dan is het dus schijnveiligheid.
Je data wordt net zo goed verstuurd en in beide gevallen net zo makkelijk te manipuleren.

Origineel gepost door Vincent

Dan is het dus schijnveiligheid.
Je data wordt net zo goed verstuurd en in beide gevallen net zo makkelijk te manipuleren.

En toch is POST veiliger;-) Er zijn vast meer voorbeelden die ik niet uit mijn hoofd weet, google maar eens dan vind je nog wat.

POST is schijnheilig, het is beide te manipuleren dus gewoon niet veilig ;)

Origineel gepost door Vincent

POST is schijnheilig, het is beide te manipuleren dus gewoon niet veilig ;)

Alsnog is POST veiliger omdat dit over het algemeen minder opgenomen wordt in de logboeken, het blijft onveilig maar dan moet maar SSL gebruiken;-)

Je kunt:

- de genoemde GET gebruiken maar dat is inderdaad veel minder veilig dan een POST.
- de eigen backbutton maken en het formulier opnieuw vullen met je sessie gegevens.
- overstappen op AJAX.

Een POST is niet alleen beter omdat ie meer data aankan dan een GET, het is inderdaad een stuk veiliger (zie D. Koop, denk, behalve routerlogs, ook maar eens aan de webstats waar al je passwords en usernames dan in staan.)
Ook kan een url maar enkele honderden bytes lang zijn dus bij grotere formulieren zou je data kwijtraken bij een GET.
Ook ziet het erg lullig uit als je een url hebt zoals http://www.bla.tld/login.php?user=vincent&pass=oeps
Zeker als deze gebookmarkt wordt of door de zillion 'seo/url-check' plugins van IE/FF wordt 'bekeken'. Zo leg je niet alleen je websitenaam, username en password, kant en klaar bij partijen zoals M$, Norton, McAfee etc... maar ook bij Google (Analytics maybe) en eventueel andere sites die ecter stats bijhouden.
En of dat nog niet genoeg is.... je maakt het dan zelfs 'domme' users erg makkelijk om iets met username/password combinaties te gaan 'spelen'.

AJAX heeft in principe geen verschil met GET en POST hoor, snap niet waarom je dit vermeld;-)

Origineel gepost door D. Koop

AJAX heeft in principe geen verschil met GET en POST hoor, snap niet waarom je dit vermeld;-)

Omdat je hiermee het probleem van de back button makkelijk oplost. Heeft niks met de veiligheid te maken uiteraard, maar dat weet je vast ook wel ;)

SSL helpt overigens niets met een GET. In dat geval wordt eerst de url naar een get omgevormt en dan welliswaar over SSL verstuurd.... Maar hij komt toch leesbaar in de logs te staan, kan eenvoudig gebookmarkt worden en kan zelfs door de gebruiker doorgestuurd worden naar een andere gebruiker. Het maakt het alleen iets lastiger om 'onderweg' de boel te wijzigen.