Session nach 10minuten beenden

[the0bone]

Ich glaub ich seh den Wald vor lauter Bäumen nicht mehr.
Auch gebe ich irgendwie die falschen Suchwörter in google ein...



Ich habe einen Passwort geschützten Bereich. Nach Login werden die Daten mit einer Session zwischen den Seiten übergeben.

Ich möchte nun dass die Session (und der Cookie) nach 10 Minuten inaktivität zerstört wird.

Aber irgendwie bekomme ich es nicht hin.
Habs mit session_set_cookie_params versucht. Nur zerstört der nur den Cookie und dem Paramenter ist auch inaktivität egal. Der löscht den Cookie einfach nach x Zeit.
session_cache_expire ist auch nicht das richtige....

Wäre für ein entsprechenden Snippet dankbar

edit: php.ini will ich nicht dran!
edit2: ini_set("session.gc_maxlifetime", 20); hab ich grad versucht... muss schon spät sein, geht auch nicht.

[Boris]

Du musst das manuell selbst programmieren. Schreib beim Login den aktuellen Timestamp in die Session.

Wenn der User wieder was macht, vergleiche den aktuellen Timestamp mit dem in der Session. Ist die Differenz zu groß (über 10 Minuten), logg den User aus. Wenn nicht, aktualisier den Timestamp in der Session.

Dieser ganze ini_set Krams bringt dir nichts, da du viele Einstellungen auf einem Webserver nicht ändern darfst.

Fertig.

[maxi89]

Du könntest notfalls (falls du Cookies setzt) diesem sagen, wann er ablaufen soll:
http://de2.php.net/setcookie

[the0bone]

Du könntest notfalls (falls du Cookies setzt) diesem sagen, wann er ablaufen soll:
http://de2.php.net/setcookie

Jep, da ich ne Session habe ist die Session ID in einem Cookie.

[Boris]

Das bringt doch alles nix. Mach es wie ich vorgeschlagen habe, das funktioniert immer und auf jedem Webserver.

[the0bone]

denke auch, dass es besser ist... nur löscht sich die session dann ja nur bei seiten load... das stört mich noch so ein bisschen

[Boris]

Was stört dich daran? Die anderen Varianten würden auch erst dann "greifen", wenn der User etwas probiert / eine Aktion macht.

[the0bone]

Auch wahr... auch wenn jemand eine alte SessionID errät... wenn er eine aktion machen will, merkt die Session das sie zu alt ist und destroy...

[Boris]

Mit erraten einer Session ist nix - wenn man bei jeder Aktion session_regenerate_id(true) nutzt. Sicherheitsfaktor

[DSB]

Mit erraten einer Session ist nix - wenn man bei jeder Aktion session_regenerate_id(true) nutzt. Sicherheitsfaktor

Nach einem Login stimme ich Dir zu (um Session-Fixation zu verhindern), aber regenerieren der Session nach jeder Aktion führt das dazu, dass der Anwender die Navigations-Buttons des Browsers nicht mehr nutzen kann.
Das halte ich - bei aller Liebe für Sicherheit - für kontraproduktiv.

[Boris]

regenerieren der Session nach jeder Aktion führt das dazu, dass der Anwender die Navigations-Buttons des Browsers nicht mehr nutzen kann.

So? Schon komisch, bei mir funktioniert das nach wie vor

[DSB]

Dann deaktiviere Deine Cookies mal.

[the0bone]

Was stört dich daran? Die anderen Varianten würden auch erst dann "greifen", wenn der User etwas probiert / eine Aktion macht.

Mache jetzt noch nen reload der Seite nach 10:30. Dann lädt die Seite neu und gleicht die Werte der Sesionzeit ab. Stellt fest, dass Ihre 10min vorbei sind und zerstört sich :-D

[Boris]

Dann deaktiviere Deine Cookies mal.

Ich lasse sowieso keine Session-Weiterleitung via URL zu, sondern nur über Cookies. Insofern ...

[DSB]

Das bringt doch alles nix. Mach es wie ich vorgeschlagen habe, das funktioniert immer und auf jedem Webserver.

Ich lasse sowieso keine Session-Weiterleitung via URL zu, sondern nur über Cookies. Insofern ...

Ergo:
Dein Vorschlag funktioniert eben doch nicht immer und hat keine Allgemeingültigkeit. Darauf wollte ich hinweisen.