Discussion :

[afrodje]

Salut
Comme le dis le titre, j'ai des déconnections de session par intermittence.
J'ai un site extranet (donc accessible de partout avec une adresse DNS).

La seul remarque que je peux faire c'est que cela arrive un peu plus souvent de l'exterieur...

J'ai fais des tests mais c'est la seul piste que j'ai pu trouver.

Voila les variables de session dans php.ini

[Session]
; Handler used to store/retrieve data.
session.save_handler = files

; Argument passed to save_handler. In the case of files, this is the path
; where data files are stored. Note: Windows users have to change this
; variable in order to use PHP's session functions.
session.save_path = "${path}\tmp\"

; Whether to use cookies.
session.use_cookies = 1

; This option enables administrators to make their users invulnerable to
; attacks which involve passing session ids in URLs; defaults to 0.
; session.use_only_cookies = 1

; Name of the session (used as cookie name).
session.name = PHPSESSID

; Initialize session on request startup.
session.auto_start = 0

; Lifetime in seconds of cookie or, if 0, until browser is restarted.
session.cookie_lifetime = 0

; The path for which the cookie is valid.
session.cookie_path = /

; The domain for which the cookie is valid.
session.cookie_domain =

; Handler used to serialize data. php is the standard serializer of PHP.
session.serialize_handler = php

; Define the probability that the 'garbage collection' process is started
; on every session initialization.
; The probability is calculated by using gc_probability/gc_divisor,
; e.g. 1/100 means there is a 1% chance that the GC process starts
; on each request.

session.gc_probability = 1
session.gc_divisor = 1000

; After this number of seconds, stored data will be seen as 'garbage' and
; cleaned up by the garbage collection process.
session.gc_maxlifetime = 1440

; PHP 4.2 and less have an undocumented feature/bug that allows you to
; to initialize a session variable in the global scope, albeit register_globals
; is disabled. PHP 4.3 and later will warn you, if this feature is used.
; You can disable the feature and the warning seperately. At this time,
; the warning is only displayed, if bug_compat_42 is enabled.

session.bug_compat_42 = 0
session.bug_compat_warn = 1

; Check HTTP Referer to invalidate externally stored URLs containing ids.
; HTTP_REFERER has to contain this substring for the session to be
; considered as valid.
session.referer_check =

; How many bytes to read from the file.
session.entropy_length = 0

; Specified here to create the session id.
session.entropy_file =

;session.entropy_length = 16

;session.entropy_file = /dev/urandom

; Set to {nocache,private,public,} to determine HTTP caching aspects.
; or leave this empty to avoid sending anti-caching headers.
session.cache_limiter = nocache

; Document expires after n minutes.
session.cache_expire = 180

; trans sid support is disabled by default.
; Use of trans sid may risk your users security.
; Use this option with caution.
; - User may send URL contains active session ID
; to other person via. email/irc/etc.
; - URL that contains active session ID may be stored
; in publically accessible computer.
; - User may access your site with the same session ID
; always using URL stored in browser's history or bookmarks.
session.use_trans_sid = 0

; The URL rewriter will look for URLs in a defined set of HTML tags.
; form/fieldset are special; if you include them here, the rewriter will
; add a hidden <input> field with the info which is otherwise appended
; to URLs. If you want XHTML conformity, remove the form entry.
; Note that all valid entries require a "=", even if no value follows.
url_rewriter.tags = "a=href,area=href,frame=src,input=src,form=fakeentry"

Merci

[afrodje]

Mon probleme ne venait pas des sessions mais du .htaccess.

Si quelqu'un passe par la, je voulais savoir pourquoi le htaccess bloquer (par intermittence) la connection

(je sais, c'est pas des sessions, mais ca évite de crée un post alors que je connais la solution).

voila mon fichier htaccess

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ErrorDocument 400 http://*******/erreur.php

Les codes d'erreur que j'ai mis vont de 400 à 405 et de 500 à 505.

Merci

[knoodrake]

Ben y'a quoi qui puisse avoir un quelconque lien avec les sessions dans erreur.php ?

Ah, et au fait, les sessions ne sont pas transmises par l'URL ( ou au moins lorsque ca bloque ) ?

[afrodje]

Ben y'a quoi qui puisse avoir un quelconque lien avec les sessions dans erreur.php ?

Car je test chaque page de mon site pour voir si une session existe, donc je croyais que les sessions déconnaient. Quand je me suis rappellé que le fichier htaccess redirigais aussi vers le fichier erreur.php.

Ah, et au fait, les sessions ne sont pas transmises par l'URL ( ou au moins lorsque ca bloque ) ?

non
Les sessions sont stocké soit coté serveur a l'aide d'un fichier de session.
Soit sous forme de cookie coté client (si j'ai tout compris, c'est comme ca que ca marche)

[knoodrake]

Car je test chaque page de mon site pour voir si une session existe, donc je croyais que les sessions déconnaient. Quand je me suis rappellé que le fichier htaccess redirigais aussi vers le fichier erreur.php.

pardon, je voulai dire est-ce dans le code php de erreur.php il y à quelque chose de relatif aux sessions ?

non
Les sessions sont stocké soit coté serveur a l'aide d'un fichier de session.
Soit sous forme de cookie coté client (si j'ai tout compris, c'est comme ca que ca marche)

oui mais, php quand on ne lui interdit pas expressément la transimission par GET peut utiliser parfois l'url au lieu des cookies pour conserver l'id de session ( variable PHPSESSID ou un truc dans le genre ). J'avai fait un site ou j'avai eu de ( petits ) déboires avoir l'analyse de l'url, des fois (quand je n'était pas devant pour pouvoir voir, évidement ) ça ne marchait pas, et c'était parce-que de temps en temps il décidait de transmettre l'id de cette façon ( je ne sais pas pourquoi, je me rapelle plus )

[afrodje]

pardon, je voulai dire est-ce dans le code php de erreur.php il y à quelque chose de relatif aux sessions ?

pas du tout car justement des qu'une erreur survient, la redirection se fais sur la page erreur, donc cette page n'influence en aucun cas les sessions.

oui mais, php quand on ne lui interdit pas expressément la transimission par GET peut utiliser parfois l'url au lieu des cookies pour conserver l'id de session ( variable PHPSESSID ou un truc dans le genre ). J'avai fait un site ou j'avai eu de ( petits ) déboires avoir l'analyse de l'url, des fois (quand je n'était pas devant pour pouvoir voir, évidement ) ça ne marchait pas, et c'était parce-que de temps en temps il décidait de transmettre l'id de cette façon ( je ne sais pas pourquoi, je me rapelle plus )

tu as verifié la variable session.use_trans_sid dans php.ini?
Comme le dis la doc, la sécurité a 1 point en mois !

Tu peux le faire manuellement mais aussi automatique grace à la variable vu ci dessus.