Session Timeout

Levis · 20.01.2008, 19:05

Hi,

Wie realisiert am geschicktesten einen Session Timeout?
Also wenn der User x Sekunden inaktiv war (also keine Seite geladen hat), soll die Session gelöscht werden und der User auf die Loginseite geleitet werden...

Ich habe gesehen, dass es da die Einstellung "session.gc_maxlifetime" gibt, aber trotz der voreingestellten 1440 Sekunden geht die Session nach der angegebenen Zeit nicht verloren - von daher werd ich wohl was falsch verstehen

Vielen Dank im Voraus,
Levis

Rizzo · 20.01.2008, 21:25

Hallo Levis,

das gc in session.gc_maxlifetime ist der Garbage Collector. Quasi die interne Mülldeponie, die sich von Zeit zu Zeit selbst reinigt. Diese maxlifetime gibt die Zeit an, wie lange eine erloschene Session Datei (wen ein User den Browser schließt) erhalten bleibt ehe sie vom Server gelöscht wird. Diese Einstellung hält also keine Session am Leben, sondern entfernt nur die Leiche einer Session nach einer gewissen Zeit. So habe ich das mit dem GC zumindest verstanden.

Das was Du machen musst ist eine manuelle Möglichkeit zu erschaffen, um eine Session zu löschen. Hier mal ein Beispiel als Idee

PHP-Code:


			
// Session starten
session_start();
// Wenn keine Session existiert einen Timeout setzen
if (!isset( $_SESSION['timeout'] ))
{
    $_SESSION['timeout'] = time();
}

// Daten, z.B. Auth-Daten, in der Session ablegen
$_SESSION['benutzername'] = $benutzer;
$_SESSION['passwort'] = $passwort;

// Pruefen ob die Session noch aktiv ist (60 Sekunden)
if ($_SESSION['timeout']+60 <= time())
{
    // Session loeschen und zum Login umleiten
    $_SESSION = array();
    header( 'location: login.php' );
}

Es ist wichtig die Session nicht mit unset( $_SESSION ); zu löschen, weil das unset() das Sessionmanagement komplett abschaltet!
Zusätzlich zur zeitlichen Überprüfung kannst Du noch den Referrer o.ä. mit einbeziehen.

DSB · 21.01.2008, 09:02

Zitat:

Zitat von Rizzo

PHP-Code:


			
// Daten, z.B. Auth-Daten, in der Session ablegen

$_SESSION['passwort'] = $passwort;

Das würde ich nicht machen, da dies eine fette Sicherheitslücke ist.

marc22 · 21.01.2008, 10:22

Zitat:

Es ist wichtig die Session nicht mit unset( $_SESSION ); zu löschen, weil das unset() das Sessionmanagement komplett abschaltet!

Das Session-Management wird mitnichten abgeschaltet. Das Session-Array für das aktuelle Skript wird lediglich gelöscht, man kann es aber einfach so weiter benutzen.

Zitat:

Das würde ich nicht machen, da dies eine fette Sicherheitslücke ist.

Wieso das?

EDIT: @Lewis: Du suchst diese Einstellung: "session.cookie_lifetime". 0 -> Session-Cookie bleibt bis zum SChließen des Browsers, ansonsten in Sekunden..

Rizzo · 21.01.2008, 10:35

Zitat:

Zitat von DSB

Das würde ich nicht machen, da dies eine fette Sicherheitslücke ist.

War doch nur ein Beispiel und nicht zur direkten Übernahme gedacht. Aber Levis weiß schon das er zumindest noch md5() benutzen sollte.

Zitat:

Zitat von marc22

Das Session-Management wird mitnichten abgeschaltet. Das Session-Array für das aktuelle Skript wird lediglich gelöscht, man kann es aber einfach so weiter benutzen.

Da liest sich für mich dieser Ausschnitt aus dem Manual aber anders. Auch Google spuckt dazu 'ne ganze Menge Meinungen aus die das untermauern.
Mit "komplette" Session-Management habe ich mich vielleicht unglücklich ausgedrückt - es ist "nur" nicht mehr möglich etwas in der Superglobalen $_SESSION abzulegen.

marc22 · 21.01.2008, 10:57

Laut Deiner Quelle:

Zitat:

Die Funktion session_unset() löscht alle Session-Variablen, die gegenwärtig registriert sind.

Zitat:

Heben Sie NICHT die Registrierung der gesamten $_SESSION mit unset($_SESSION) auf, weil dies die Registrierung von Variablen durch die Superglobale $_SESSION deaktivieren würde.

Bezieht sich nur auf den aktuellen Skripaufruf.
Probier es doch mal aus

Da steht nichts davon, dass die eigentliche Session gelöscht wird.

Zitat:

Das Session-Array für das aktuelle Skript wird lediglich gelöscht, man kann es aber einfach so weiter benutzen.

Was aus dem Satz nicht hervor gegangen ist: Man kann das Array erst beim nächsten Skript-Aufruf wieder benutzen.

Rizzo · 21.01.2008, 11:10

Gemeint ist folgendes:
Wenn man unset() auf eine einzelne Session Variable, z.B. $_SESSION['vorname'], anwendet, löscht man den Inhalt dieser einen Variable: unset( $_SESSION['vorname'] ); - was absolut korrekt ist.

Benutzt man aber unset() auf die Superglobale $_SESSION, also unset( $_SESSION ), leert man die Superglobale und sperrt sie dabei, so daß man auf Folgeseiten (oder der gleichen Seite) nichts mehr in dieser Session ablegen kann. Man muß also die komplette Session neu starten um sich eine neue SID zu holen und evtl noch benötigte Daten in der Session schreiben.
$_SESSION = array(); hingegen leert alle Variablen in der Session, erhält aber die serverseitig gespeicherten Session Information, wie etwa die SID, etc.

So steht es zumindest in der Doku und darüber findet man diverse Bestätigungen, wenn man Google bemüht. Jetzt verständlicher ausgedrückt?

marc22 · 21.01.2008, 11:47

Zitat:

Benutzt man aber unset() auf die Superglobale $_SESSION, also unset( $_SESSION ), leert man die Superglobale und sperrt sie dabei, so daß man auf Folgeseiten (oder der gleichen Seite) nichts mehr in dieser Session ablegen kann.

Falsch

EDIT: Was verstehst Du unter "komplette Session neu starten"?

Levis · 23.01.2008, 17:50

session.cookie_lifetime reicht wohl laut diversen Aussagen und Tests nicht aus.

Danke Rizzo für den Tipp

steffenk · 23.01.2008, 21:26

unset arbeitet in dem Fall unzuverlässig, ich denk das das eher ein Problem von php ist.

Ich überschreibe Arrays grundsätzlich mit $a = array(); was immer zuverlässig ist. Es ist auch richtig, das selber zu machen, jedes OnlineBanking macht das auch sehr radikal nach ca. 30 sek.

Levis · 24.01.2008, 20:50

Kann man die Session statt mit $_SESSION = array(); nicht auch über session_destroy() löschen? Wo ist der Unterschied und warum und wann wird was angewendet?

webcreate · 25.01.2008, 02:54

Erstmal laut Doku:

Zitat:

Verwenden Sie session_unset() nur bei veraltetem Code, bei dem nicht $_SESSION benutzt wird.

Wenn man mit $_SESSION arbeitet, dann das löschen aller Session Vars halt wie bei Steffen: $_SESSION = array();

session_destroy() verwendet man um die Session-Datei, die die im session.save_path auf dem Webserver gespeichert ist, zu löschen.

Die sicherste Methode die Session incl. vom Cookie zu löschen ist die, die bei session_destroy im Example#1 angegeben wird.