[php] czas sesji Opcje

[dopelganger]

cześć
mam banalne pytanie, i może śmieszne i głupie zarazem więc prosze o wyrozumiałość dla "skrępowanego umysłu"

ale zgłupiałem , więc pytam:
czy jeżeli ustawię sesje na x czasu , np: 10 minut to czy ona wygaśnie po tym czasie mimo tego że będzie działanie na stronie, czy "nie wygaśnie"

[PHP] pobierz, plaintext 
ini_set( 'session.gc_maxlifetime', $minut); 
ini_set( 'session.cookie_lifetime', $minut);
session_set_cookie_params($minut);
session_start();
[PHP] pobierz, plaintext 

dzięki

Ten post edytował dopelganger 3.07.2014, 08:11:23

[Michael2318]

Pojęcie 'długość trwania sesji' oznacza, że jeśli user zalogował się na stronę - jest zalogowanym użytkownikiem - ale pozostał on na jakiejś stronie u Ciebie i nie wykonuje żadnych operacji (nie odświeża strony, nie przechodzi między podstronami - po prostu jest nieaktywny) to jeśli wreszcie powiedzmy po pół godziny się zjawi i zrobi jakikolwiek ruch na stronie to skrypt z automatu go wyloguje bo długość sesji była ustawiona powiedzmy na 10 minut.

Ja u siebie robię to tak:

Pod session_start(), dorzucam session_regenerate_id w celu zabezpieczenia się przed session hijacking i co odświeżenie strony taki kod:

[PHP] pobierz, plaintext 
		private function user_authorisation()
	{
		$ip = $_SERVER['REMOTE_ADDR'];
		$agent = $_SERVER['HTTP_USER_AGENT'];
 
		if ( !isset($_SESSION['login']) )
		{
			return FALSE;
		}
 
 
		if ( $_SESSION['login']['user_agent'] !== $agent )
		{
			$this->logout();
 
			return FALSE;
		}
 
		if ( $_SESSION['login']['IP'] == $ip )
		{
			if ( (intval($_SESSION['login']['last_active']) + $this->config['session_timeout']) >= time() )
			{
				$_SESSION['login']['last_active'] = time();
 
				return TRUE;
			}
			else
			{
				$this->logout();
 
				return FALSE;
			}
		}
		else
		{
			$this->logout();
 
			return FALSE;
		}
	}
[PHP] pobierz, plaintext 

tylko, że to jest w OOP, ale to nie ważne. Teraz sam sobie sprawdzasz ile trwała sesja usera, sprawdzasz czy user_agent się zgadza oraz czy adres IP pasuje.
Po pierwsze w miare zabezpieczone po drugie masz długość sesji i wylogowanie po przekroczeniu tego czasu.

Ten post edytował Michael2318 3.07.2014, 08:47:48

[Pyton_000]

Jeżeli jest hosting współdzielony to może i tak nie zadziałać.
Jeżeli będzie akcja to nie wygaśnie

tu masz ciekawy wątek: http://stackoverflow.com/a/1270960

[dopelganger]

Pojęcie 'długość trwania sesji' oznacza, że jeśli user zalogował się na stronę - jest zalogowanym użytkownikiem - ale pozostał on na jakiejś stronie u Ciebie i nie wykonuje żadnych operacji (nie odświeża strony, nie przechodzi między podstronami - po prostu jest nieaktywny) to jeśli wreszcie powiedzmy po pół godziny się zjawi i zrobi jakikolwiek ruch na stronie to skrypt z automatu go wyloguje bo długość sesji była ustawiona powiedzmy na 10 minut.

robie testa i okazuje sie że pomimo odświeżania strony sesja wygasa po ustawieniu jej czasu :/

test:

[PHP] pobierz, plaintext 
session_start();
 
if (!isset($_SESSION["tester"])) {
 
ini_set('session.gc_maxlifetime',10);  
ini_set('session.cookie_lifetime',10); 
session_set_cookie_params('10'); 
session_regenerate_id(); 
session_start();
 
$_SESSION["tester"] = 'test';
echo 'nie ma session... ustawiam';
} else {
echo 'jest session...';
}
[PHP] pobierz, plaintext 

[Michael2318]

Ale nic nie wyciąnąłeś z tego co Ci napisałem. Po pierwsze wywal to wszystko:

[PHP] pobierz, plaintext 
ini_set('session.gc_maxlifetime',10);  
ini_set('session.cookie_lifetime',10); 
session_set_cookie_params('10'); 
session_regenerate_id(); 
session_start();
[PHP] pobierz, plaintext 

session_start() podczas załadowania całej aplikacji ma zawsze występować tylko raz i ma to być druga linia pliku, zaraz po <?php.
Dalej, zaraz pod session_start, wrzuć session_regenerate_id(true);. Następnie do sesji masz przypisać tablicę z danymi, czyli oprócz Twojego test (zakładam, że to jest nick usera obecnie zalogowanego), masz zapisać czas ostatniej aktywności:

[PHP] pobierz, plaintext 
$_SESSION['tester'] = array(
'nick' => 'test',
'ip' => $_SERVER['REMOTE_ADDR'],
'user_agent' => $_SERVER['HTTP_USER_AGENT'],
'last_active' => time());
[PHP] pobierz, plaintext 

I teraz masz sprawdzać to w ten sposób:

[PHP] pobierz, plaintext 
$session_time = 10; // czas trwania sesji w minutach
$session_time = $session_time * 60;
 
if ( isset($_SESSION['tester']) ) // jeśli sesja została przypisana...
{
    $ip = $_SERVER['REMOTE_ADDR'];
    $uagent = $_SERVER['HTTP_USER_AGENT'];
 
    if ( $uagent !== $_SESSION['tester']['user_agent'] || $ip !== $_SESSION['tester']['ip'] ) // jeśli ip lub user agent nie zgadza się z tym przypisanym podczas sesji...
    {
        session_destroy(); // niszczymy sesje
        header("location: index.php"); // oraz przekierowujemy na główną stronę, żeby dane się przeładowały oraz żeby usera nie zostawić np. w edycji profilu...
        exit;
    }
 
    if ( ($_SESSION['tester']['last_active'] + $session_time) < time() ) // jeśli przekroczono długość sesji...
    {
        session_destroy(); // niszczymy sesje
        header("location: index.php"); // oraz przekierowujemy na główną stronę, żeby dane się przeładowały oraz żeby usera nie zostawić np. w edycji profilu...
        exit;
    }
}
[PHP] pobierz, plaintext 

Tylko jeszcze pamiętaj, żeby po tym całym sprawdzaniu dodać aktualizacje czasu ostatniej aktywności sesji na obecny czas bo inaczej to zawsze po przekroczeniu tego 10min będzie wylogowywać.

[PHP] pobierz, plaintext 
if ( isset($_SESSION['tester']) )
{
    $_SESSION['tester']['last_active'] = time();
}
[PHP] pobierz, plaintext 

napisałem Ci praktycznie gotowca.