[Sécurité] Détruire la session au bout de x minutes d'inactivité : même si actif... [Résolu]

psychoBob · 10/05/2006, 18h21

Bonjour,

Je continue la lutte contre les sessions php et là un nouvel obstacle se présente.

Je veux qu'après x minutes d'inactivité, la session se détruise toute seule.
J'ai donc commis la chose suivante :

1) Lors de l'identification:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$_SESSION['dernier_acces']=time();

2) Dans les pages :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if(time()-$_SESSION['dernier_acces']>x) 
{
  session_destroy(); 
}

Mais là il se trouve que même si l'utilisateur s'excite comme un fou sur le site, il est de toute façon déconnecté sans vergogne au bout de x minutes.

D'où ma question audacieuse : Où ai-je bavé ?

Et j'en profite même pour poser une deuxième question tout aussi audacieuse : qu'elle est la valeur convenable pour x, du point de vue de l'ergonomie et de la sécurité ?

goldorax113 · 10/05/2006, 18h32

salut,

tu dis que tu fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $_SESSION['dernier_acces']=time();

lors de l'indentification, mais faudrait it pas que tu le fasse à chaque fois qu'une page est chargée

parce que sinon c normal qu'au bout de x minutes l'user se fasse deconnecter...

Nico

psychoBob · 10/05/2006, 18h36

Oui, mais non, non ?

Si je fais, sur chaque page:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$_SESSION['dernier_acces']=time(); 
if(time()-$_SESSION['dernier_acces']>10) 
{
  session_destroy(); 
}

Ici $_SESSION['dernier_acces'] va être égal à time(), donc la condition ne sera jamais validé.

psychoBob · 10/05/2006, 18h55

Bon alors j'ai essayé ça :

Lors de l'identification :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$_SESSION['premier_acces']=time();

A chaque page :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$_SESSION['dernier_acces']=time();
if($_SESSION['dernier_acces']-$_SESSION['premier_acces']>10) 
{
  session_destroy(); 
}

Je pensais que cela allait fonctionner, mais non, au bout de 10 secondes, actif ou non, l'utilisateur est déconnecté.

**bon c'est normal que ça foire en fait. je fais quoi alors ?

ePoX · 10/05/2006, 19h12

Et simplement

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
if(time()-$_SESSION['dernier_acces']>x) 
{
  session_destroy(); 
}
else
{
$_SESSION['dernier_acces'] = time();
}

non ?

psychoBob · 10/05/2006, 19h35

Une question paranormale :
1) J'affiche une page.
2) J'attend 11 secondes (temps de déconnexion fixée à 10 pour le test).
3) J'affiche une nouvelle page : toujours connecté.
4) J'affiche encore une nouvelle page : cette fois je suis déconnecté.

Pourquoi le message de déconnexion n'apparait-il pas dès l'étape 3 ?

ouatmad · 10/05/2006, 19h38

renforce session_destroy par session_unset() et autres chose si y'en a

psychoBob · 10/05/2006, 19h40

Parce que session_destroy() ne détruit pas elle-même toutes les variables de session ?

ouatmad · 10/05/2006, 19h52

Citation:

Envoyé par psychoBob

Parce que session_destroy() ne détruit pas elle-même toutes les variables de session ?

Citation:

session_destroy()
Si l'on peut créer une session, il faut pouvoir la détruire. c'est simple avec cette fonction , il suffit de l'appeler et la session en cours sera supprimée.
Il faut tout de même remarquer que les variables globales apportées par cette session avant sa destruction ne sont pas
supprimées. Pour cela, il faut utiliser la fonction session_unset() .

psychoBob · 10/05/2006, 19h55

Ok, merci Ouatmad

Donc je fais simplement

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if(time()-$_SESSION['dernier_acces']>10) 
{
  session_destroy(); 
  session_unset();
}

Pas besoin pour chaque variable de session de faire session_unset(variable1) ?

10/05/2006, 18h32	#2
goldorax113 Nouveau Membre du Club Étudiant Inscription : octobre 2002 Messages : 111 Détails du profil Informations personnelles : Âge : 25 Informations professionnelles : Activité : Étudiant Informations forums : Inscription : octobre 2002 Messages : 111 Points : 32 Points : 32	salut, tu dis que tu fais Code : Sélectionner tout - Visualiser dans une fenêtre à part $_SESSION['dernier_acces']=time(); lors de l'indentification, mais faudrait it pas que tu le fasse à chaque fois qu'une page est chargée parce que sinon c normal qu'au bout de x minutes l'user se fasse deconnecter... Nico
	00

10/05/2006, 19h38	#7
ouatmad Membre émérite Inscription : juillet 2005 Messages : 775 Détails du profil Informations personnelles : Âge : 29 Informations forums : Inscription : juillet 2005 Messages : 775 Points : 858 Points : 858	renforce session_destroy par session_unset() et autres chose si y'en a __________________ Les hommes naissent et demeurent libres et egaux en dignité et en droit. Les distinctions sociales ne peuvent etre fondées que sur l'utilité commune. Article 1 droits et de l'homme et du citoyen. 1789
	00

10/05/2006, 19h35	#6
psychoBob Membre éclairé Inscription : juillet 2005 Messages : 1 221 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 1 221 Points : 398 Points : 398	Une question paranormale : 1) J'affiche une page. 2) J'attend 11 secondes (temps de déconnexion fixée à 10 pour le test). 3) J'affiche une nouvelle page : toujours connecté. 4) J'affiche encore une nouvelle page : cette fois je suis déconnecté. Pourquoi le message de déconnexion n'apparait-il pas dès l'étape 3 ?
	00

10/05/2006, 19h40	#8
psychoBob Membre éclairé Inscription : juillet 2005 Messages : 1 221 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 1 221 Points : 398 Points : 398	Parce que session_destroy() ne détruit pas elle-même toutes les variables de session ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email