witam,

zrobiłem aplikacje, ale mam jeszcze problem z poprawnym wylogowaniem usera. otoz usuwam sesje poprawnie, ale gdy user sie wyloguje to kiedy wciska wstecz w przegladarce(raz w IE lub kilka razy w firefox) to udaje mu sie wrocic do autoryzowanej strony i zobaczyc zawartosc. co prawda gdy prubuje wtedy kkliknac cos to wyrzuca go z powrotem do strony wylogowania. ale i tak jest zle.

jaki jest sposob zeby usunac z przegladarki te dane aby juz nie mogl ich zobaczyc user po wylogowaniu?

Trzeba wyczyścić cache w przeglądarce

wydaje sie sluszne, ale jak to mozna zrobic?

Zdalnie to zdaje mi się że się nie da

jest wiele komercyjnych aplikacji w php np. gdzie zostal rozwiazany ten problem. pytanie wiec: jak to zrobic?

W aplikacji, którą pisałem nie mogłem pozwolić na nieautoryzowany dostęp. Problem rozwiązałem w następujący sposób. Na początku pliku z kontrolerem wywołuję plik:

[PHP] pobierz, plaintext 
<?php
require_once('verify.php');
?>
[PHP] pobierz, plaintext 

Zawartość pliku verify:

[PHP] pobierz, plaintext 
<?php
 
	//**************************************************
	//**  Skrypt weryfikujący zalogowanie w systemie
	//**************************************************
 
	require_once('function.php');
	require_once('config.inc.php');
 
 
 
	// JEŚLI NIE ISTNIEJE SESJA UŻYTKOWNIKA TO POWRÓT NA STRONĘ LOGOWANIA
	if ( (!isset($_SESSION['LOGIN'])) && (!isset($_SESSION['HASLO'])) )
	{
		?>
		<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
		<html xmlns="http://www.w3.org/1999/xhtml" lang="pl" xml:lang="pl">
 
		<head> 
			<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2" />
			<meta http-equiv="Content-language" content="pl" />
			<meta name="Description" content="Firma X" />
			<meta name="Author" content="Sebastian Sowiński" />
			<meta name="Robots" content="all" />
			<meta name="Pragma" content="no-cache" />
			<meta name="Cache-Control" content="no-store, no-cache, must-revalidate" />	  
			<link rel="stylesheet" href="css/authorization.css" type="text/css" />
 
			<title>DOSTĘP WZBRONIONY</title>
		</head>
			<body>
 
				<div id="log">
					<img class="stop" src="img/stop.gif" width="83px" height="83px" alt="Stop" name="Stop" border="0" />
					<p class="brakautoryzacji">Nie masz uprawnień !</p>
				</div>			
 
			</body>
		</html>
 
		<?php
			// Logowanie operacji
			if ( $trybLogowania > 0 ) dodajLog($sciezkaDoPlikuZlogami,'SYSTEM','Możliwa próba obejścia zabezpieczeń - nieudana weryfikacja !!!');
 
			echo '<META HTTP-EQUIV='Refresh' CONTENT='4; URL=index.php'>';
			exit();
	}
?>
[PHP] pobierz, plaintext 

Sprawdza się znakomicie.

hm. rozumiem ze ten kod:

[PHP] pobierz, plaintext 
<?php
echo '<META HTTP-EQUIV='Refresh' CONTENT='4; URL=index.php'>';
			exit();
?>
[PHP] pobierz, plaintext 

rozwiazuje caly problem. sprawdze jak tylko bede mogl,dzieki!:)

Zamień exit() na die();
W pliku index.php jest kod odpowiedzialny za autoryzację. Tzn formularz itp.. Najważniejsze jest to, że jak sprawdzisz, że sesja nie istnieje to przekierowujesz.
pzdr

zrobilem cos takiego, ale nie dziala:

[PHP] pobierz, plaintext 
<?php
/* sprawdza za kazdym wykonaniem czy w ostatnich 10min user korzystal z aplikacji
 jesli nie to nastepuje automatyczne wylogowanie
 * jesli user sie dopiero zalogowal to pobiera nazwe i haslo, jesli jest juz zal
ogowany to sprawdza czy dane sa poprawne
 * ustawia czas waznosci sesji
 */
function check_login() {
 
//sprawdzamy i ustawiamy czas waznosci sesji
$_SESSION['intTimeoutSeconds'] = 600;	//ustaw sekundy do timeout'u 600 = 10min
if(isset($_SESSION['intLastRefreshTime'])) {
	if(($_SESSION['intLastRefreshTime'] + $_SESSION['intTimeoutSeconds']) < time()) {
			print '<META HTTP-EQUIV="Refresh" CONTENT="5"; URL="logout.php">';
		header('Location: logout.php');
		exit;
	}
}
$_SESSION['intLastRefreshTime'] = time();
 
//utworzenie krotkich nazw zmiennych i spr. czy dane sa przek. w zm. sesji
if (!isset($_SESSION['user_name']))
	$_SESSION['user_name'] = @$_POST['user_name'];
if (!isset($_SESSION['password_']))
	$_SESSION['password_'] = @$_POST['password_'];
 
// jesli uzytkownik znajduje sie w bazie danych rejestracja identyfikatora
if (loguj($_SESSION['user_name'], $_SESSION['password_'])) {
	$_SESSION['uwierz_uzyt'] = $_SESSION['user_name'];
	//sprawdzenie czy zalogowany posiada prawa admina czy zwyklego usera
	$connect = lacz_bd();
	$query = "select admin from cms_users where user_name='".$_SESSION['user_name']."'";
	$result = mysql_query($query, $connect);
	$_SESSION['admin'] = mysql_result($result, 0, 0);
	mysql_free_result($result);
 
} else { // nieprawidlowe logowanie
	print '<META HTTP-EQUIV="Refresh" CONTENT="5"; URL="logout.php">';	
	header('Location: logout.php');
	exit();
}
 
session_register('czas_zalogowania_test');
if($_SESSION['czas_zalogowania_test'] == false){
	session_register('czas_zalogowania');
	$_SESSION['czas_zalogowania'] = date("H:i:s a");
	$_SESSION['czas_zalogowania_test'] = true;
}
 
}
?>
[PHP] pobierz, plaintext 

ogolnie moze to nie pasuje do mojego skryptu...

<OT>Po co używasz znaku małpy w zapisach:

[PHP] pobierz, plaintext 
<?php
$_SESSION['password_'] = @$_POST['password_'];
?>
[PHP] pobierz, plaintext 

:]</OT>


Ja w swoim skrypcie sprawdzam czy w sesji istnieje zapisany login i hasło. Jeśli tak - użytkownik jest zalogowany. Jeśli nie - wylogował się. Jeśli się wylogował (czyt. w zmiennej sesyjnej nie ma zapisanego loginu i hasła) to jeśli próbuje się dostać do innych podstron/akcji/plików jest kierowany na stronę logowania (po krótkim czasie na przeczytanie "brak dostępu" etc.).
W funkcji, którą podałeś nie dopatrzyłem się żebyś to sprawdzał w sposób, który podałem niżej.

@ - uzywam poniewaz gdy za pierwszym razem wykonuje sie ta funkcja, czyli kiedy user wysyla formularz z loginem i haslem to wtedy do zmiennych podstawiaja sie te dane. potem gdy juz sa ustawione te zmienne i nie ma nic w POST @ powoduje ze nie wyswietla sie notice z brakiem wartosci w POST.

moja funkcja "loguj" sprawdza za kazdym razem uwierzytelnienie w bazie.

natomiast to:

[PHP] pobierz, plaintext 
<?php
print '<META HTTP-EQUIV="Refresh" CONTENT="5"; URL="logout.php">';
?>
[PHP] pobierz, plaintext 

nie powoduje u mnie przejscia do wskazanej strony, lecz caly czas przeladowuje sie pusta strona.

byc moze to ze podstawiam dane z POST do hasla i loginu zawsze kiedy te zmienne sesyjne sa puste powoduje ze przegladarka wchodzi wstecz do autoryzowanej strony...? no ale tak juz to skonstruowalem. pytanie co powinienem poprawic

Przyjrzyj się jeszcze raz jak ja to zrobiłem.

[PHP] pobierz, plaintext 
<?php
if ( (!isset($_SESSION['LOGIN'])) && (!isset($_SESSION['HASLO'])) )
	{
		//tutaj jakiś komunikat...
		echo '<META HTTP-EQUIV='Refresh' CONTENT='4; URL=index.php'>';
		die();
	}
?>
[PHP] pobierz, plaintext 

Ja podczas logowania ustawiam zmienne sesyjne LOGIN i HASŁO i tylko je sprawdzam, bo jeśli istnieją tzn że użytkownik jest zalogowany. W tym co Ty podałeś można się pogubić. Teraz nie mam za bardzo czasu ale jutro sobie ten kod sformatuje i oblukam. Ewidentnie masz gdzieś błąd.. U mnie naciskanie przycisku wstecz nic nie da ba za każdym razem na samym początku skryptu sprawdzane jest czy istnieje sesja jeśli nie to jest przekierowywany na stronę logowania. W ten sposób też nie obejdziesz logowania (nie odpalisz ręcznie żadnej podstrony systemu bez hasła bo dostaniesz ostrzeżenie i zobaczysz stronę logowania - sprawdzano )