phpのバージョンでセッションが使えない。

前提・実現したいこと

ログイン機能を作っております。
php５．６では成功しているものの7.0以降にすると、エラーがおきてしまいます。
自分では、よくわからないためエラーの対応を教えてください。

もしよければ、こちらのコード事態は正常かどうかのご意見をいただきたいです。

発生している問題・エラーメッセージ

login_form.php

Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at hoge/login_form.php:1) in hoge/login_form.php on line 2

Warning: Cannot modify header information - headers already sent by (output started at hoge/login_form.php:1) in hoge/login_form.php on line 4

Warning: Cannot modify header information - headers already sent by (output started at hoge/login_form.php:1) in hoge/login_form.php on line 11

login_check.php
Warning: session_regenerate_id(): Cannot regenerate session id - headers already sent in hoge/login_check.php on line 81

Warning: Cannot modify header information - headers already sent by (output started at hoge/db.php:1) in hoge/login_check.php on line 84

該当のソースコード

php
1<?php
2session_start();
3 
4header("Content-type: text/html; charset=utf-8");
5 
6//クロスサイトリクエストフォージェリ（CSRF）対策
7$_SESSION['token'] = base64_encode(openssl_random_pseudo_bytes(32));
8$token = $_SESSION['token'];
9 
10//クリックジャッキング対策
11header('X-FRAME-OPTIONS: SAMEORIGIN');
12 
13?>
14 
15<!DOCTYPE html>
16<html>
17<head>
18<title>ログイン画面</title>
19<meta charset="utf-8">
20</head>
21<body>
22<h1>ログイン画面</h1>
23 
24<form action="login_check.php" method="post">
25 
26<p>アカウント：<input type="text" name="account" size="50"></p>
27<p>パスワード：<input type="text" name="password" size="50"></p>
28 
29<input type="hidden" name="token" value="<?=$token?>">
30<input type="submit" value="ログインする">
31 
32</form>
33<a href="hoge/sendmail.php">新しくアカウントを作成</a>
34 
35</body>
36</html>

<?php
session_start();
header("Content-type: text/html; charset=utf-8");

//クロスサイトリクエストフォージェリ（CSRF）対策のトークン判定
if ($_POST['token'] != $_SESSION['token']){
	echo "不正アクセスの可能性あり";
}
//ここで処理が止まってしまう。
 ?>
 
</body>
</html>

試したこと

output_buffering=On やbom付等の確認。session_start,headerの位置。

補足情報（FW/ツールのバージョンなど）

visualstadio 2019 ,ffftp

valudominサーバー　エコプラン

yambejp

2021/05/25 08:28

なんとも言えませんがまずはBOMを疑ってみては？

退会済みユーザー

2021/05/25 08:30

php.iniを新旧比較するとか。

退会済みユーザー

2021/05/25 08:31

bomは確認しました。念のため、確認方法 1ソースコードをメモ帳にコピー 2.名前付くで保存するときにutf8で保存です。

退会済みユーザー

2021/05/25 09:33 編集

php.iniについても、主要なところは確認しました。同じでした。他のところも見てみます。

yuki84web

2021/05/25 10:58

表示できない文字（空白）が無いか、改行コードを変えてみるとか…

takasima20

2021/05/25 11:14

関係ないと思うけど DOCTYPE の上の空行を削除してみたら?

退会済みユーザー

2021/05/25 20:16

login_form.php の <?php の前に何か記述(改行とか)がありませんか？もしかすると表示されない文字でうまく削除できていない可能性も考え、ファイルを新しく作り、<?php を入力、それ以降をコピペして上書きした後の結果を教えてください。

ockeghem

2021/05/26 00:55

いったんHTTPヘッダを出力しないようにして、Warningがない状態で表示させてみて、意図しない出力がないか調べてみたらどうでしょうか?

退会済みユーザー

2021/05/26 04:18 編集

yuki84web様、takashims20様、te2ji様特にスペースを削除してみても変わりはありませんでした。また、新しくファイルを作成しスペースを作らないようにコピペをしてもやはり変わりはありませんでした。ありがとうございました。

退会済みユーザー

2021/05/26 04:19

m6u様 php.iniに関して 5.6から7にかけての変更点は無いようです。

退会済みユーザー

2021/05/26 08:15

ochkeghen様＞いったんHTTPヘッダを出力しないようにして、すみません。方法を教えてもらえないでしょうか？

ockeghem

2021/05/26 09:06

> 方法を教えて session_start()やheader関数の実行をコメントアウトします。後で戻すのを忘れないようにバックアップをとっておきましょう。

退会済みユーザー

2021/05/26 10:39

ockeghem様 >session_start()やheader関数の実行を結果、何も出力されません。これで、大丈夫なのでしょうか？

ockeghem

2021/05/26 11:18

wget か curlでダウンロードして、本当に何も出力されていないか（空白や制御文字も含めて）確認するとよいです。

行動規範の内容に同意します

回答1件

ベストアンサー

これ、ファイルの途中で埋め込んだ部分なのでは…。
セッション指定とヘッダ指定は一ファイルあたり一度きりで十分です。そしてsession_startは先頭（２行目）だけに置いて下さい。
おそらく２行目と８１行目に同じ記述をしているのではないでしょうか？

PHP
1<?php
2session_start();
3header("Content-type: text/html; charset=utf-8");
4
5//クロスサイトリクエストフォージェリ（CSRF）対策のトークン判定
6if ($_POST['token'] != $_SESSION['token']){
7    echo "不正アクセスの可能性あり"; 
8}
9//ここで処理が止まってしまう。
10 ?>
11
12</body><!-- よく見たら途中になっている！ -->
13</html>

また、ヘッダの指定前にecho、print、var_dump等は使ってはいけません、ヘッダ指定が無効化されます。エラーを確認するに、それもやってしまっている可能性があります。

投稿2021/05/26 02:49

編集2021/05/26 02:54

FKM

総合スコア3647

退会済みユーザー

2021/05/26 08:28 編集

ありがとうございます。 login_form の段階ですでにセッションが生成されておらず、見やすいように内容を消しました。すみません。省いたもので試しても、 csrf用の不正なログインになってしまいます。＞これ、ファイルの途中で埋め込んだ部分なのでは…。セッション指定とヘッダ指定は一ファイルあたり一度きりで十分です。そしてsession_startは先頭（２行目）だけに置いて下さい。 headerはログインが成功した段階で飛ばす処理をしようと81行目に書きました。参照元 https://noumenon-th.net/programming/2016/02/27/registration2/

FKM

2021/05/26 08:55

その参照先、別々のファイルですよね？同じファイル内にsession動作を２回書いては行けない上に、session_startはPHP処理の先頭に必ず１回だけ書いて下さい。８１行目は処理の先頭ですか？それ以前にもPHPで処理している部分があるなら、その先頭に書きましょう

退会済みユーザー

2021/05/26 10:42

すみません。こちらも同じように、ファイルを分けています。（ファイルの名前も同じです。わかりずらかったですよね。すみません。

退会済みユーザー

2021/05/26 10:48

先程のリンクが間違っていたので https://noumenon-th.net/programming/2016/03/03/login/ 正しくはこちらです。 >８１行目は処理の先頭ですか？いいえ、処理のなかで「パスワードが合えば」 header(ページのジャンプ) という処理なので、途中に書くしか、、、もし、先頭に書く方法があれば教えてください。ちなみに、 //パスワードが一致 if (password_verify($password, $password_hash)) { //セッションハイジャック対策 session_regenerate_id(true); $_SESSION['account'] = $account; header("Location: login_admin);

FKM

2021/05/26 14:57 編集

ひとまず、4行目のheaderを3行目に移動してください。それで4行目の警告は回避されます。ほかにもheader関数を使用する場合は、PHPの構文内（関数やifやforなどで制御している内側です）に空白行は使わないようにしましょう。htmlと認識して、header関数がうまく使えません。

行動規範の内容に同意します