Coder Forum

Hallo!

ich habe mal eine Frage zu diesen Facebook Connect.

Wir benutzen diese Möglichkeit bereits in unserem Online-Shop, damit sich unsere Kunden auch einen Account anlegen können. Ich habe mir dafür das PHP SDK runtergeladen, was auch gleich gut funktioniert hat.

Das Problem ist leider nur, dass unser Online-Shop noch mit PHP 4 arbeitet, und dieses PHP-SDK von Facebook PHP 5 voraussetzt. Unser Webshoster unterstützt natürlich auch PHP5. Ich musste diese Dateien ledig in .php5 ändern. Ist nicht die perfekte Lösung, aber es geht erstmal.

Was mich allerdings etwas beunruhigt ist, dass die Session von Facebook in die URL-Adresse mit reingeschrieben wird. Das sieht dann z.B. so aus: login.php5?session={%22session_key%22%3A%2 ...

Frage 1: Kann man das irgendwie ändern, dass man diese Session nicht in der Adresse sieht. Hat ja auch was mit Sicherheit zu tun...

Frage 2: Gibt es da vielleicht noch ein anderes SDK was auch mit PHP 4 arbeitet? Das wäre sehr viel besser für mich, da ich das dann auch direkt in den Online-Shop einbetten könnte.


Ich hoffe ihr könnt mir helfen :-).

Der Shop würde auch mit PHP5 laufen, allerdings müsste ich da sicherlich so einiges im Quelltext ändern. Die PHP5 Funktion kann man ganz einfach in der .htaccess Datei aktivieren, das wäre nicht das Problem.

-------

Genau diese Facebook API benutze ich auch! Mit meinen PHP4 Skripten funktionieren diese Session ID's auch immer einwandfrei. Nur bei diesen PHP5 Skripten irgendwie nicht. Auch als ich letztens mal PHP5 aktiviert habe, hatte ich wieder den gleichen Effekt, dass die Session in der URL zu sehen war. Cookies sind aktiviert.

Und genau das habe ich eben mal ausführlich getestet :-).

PHP 5 macht scheinbar wirklich Probleme! Allerdings läuft die Sache wieder wenn ich per .htaccess PHP5 offiziell aktiviere. Dann funktioniert mein Session-Test richtig und die Session wird auch normal ausgegeben.

Ich habe dann auch mal versucht ob die Facebook-API immer noch die Session in die URL schreibt, was aber leider wieder der Fall war (wie gesagt PHP5 war aktiv!). Wieder konnte ich die komplette Session in der URL sehen. Es funktioniert zwar auch alles so, aber man könnte so halt die Session sicherlich manipulieren, sprich gefährlichen Code ausführen (oder nicht?), das ist der Punkt... Sonst funktioniert der ganze Facebook-Login genau so wie ich es haben will!

Wenn ich diesen PHP5 Befehl aber nicht in die .htaccess Datei reinschreibe und ich ändere die PHP-Datei einfach in xxx.php5 (das führt dann laut Provider auch PHP5-Code aus, auch wenn ich PHP5 nicht in der .htaccess aktiviert habe), dann erhalte ich immer diese Fehlermeldung wenn ich mit den Befehl session_start(); arbeite:

"Warning: Unknown: Failed to write session data (files). Please verify that the current setting of session.save_path is correct (/tmp) in Unknown on line 0"

An diesen Ordner komme ich aber nicht dran da ich keinen Root Server habe.


Die URL schickt ja wenn ich mich über den Facebook Connect Button einlogge ja auch noch diese Befehle an die Facebook-API, aber das scheint wohl alles richtig zu sein, habe daran nichts verändert:

"...login.php5&return_session=1&session_version=3&v=1.0"