[Sécurité] Détruire la session au bout de x minutes d'inactivité : même si actif...

Version imprimable

10/05/2006, 18h21
psychoBob

[Sécurité] Détruire la session au bout de x minutes d'inactivité : même si actif...
Bonjour,

Je continue la lutte contre les sessions php et là un nouvel obstacle se présente.

Je veux qu'après x minutes d'inactivité, la session se détruise toute seule.
J'ai donc commis la chose suivante :

1) Lors de l'identification:
Code:

1 2 $_SESSION['dernier_acces']=time();
2) Dans les pages :
Code:

1 2 3 4 5 if(time()-$_SESSION['dernier_acces']>x) { session_destroy(); }
Mais là il se trouve que même si l'utilisateur s'excite comme un fou sur le site, il est de toute façon déconnecté sans vergogne au bout de x minutes.

D'où ma question audacieuse : Où ai-je bavé ?

Et j'en profite même pour poser une deuxième question tout aussi audacieuse : qu'elle est la valeur convenable pour x, du point de vue de l'ergonomie et de la sécurité ?
10/05/2006, 18h32
goldorax113

salut,

tu dis que tu fais

Code:

$_SESSION['dernier_acces']=time();

lors de l'indentification, mais faudrait it pas que tu le fasse à chaque fois qu'une page est chargée

parce que sinon c normal qu'au bout de x minutes l'user se fasse deconnecter...

Nico
10/05/2006, 18h36
psychoBob
Oui, mais non, non ?

Si je fais, sur chaque page:
Code:

1 2 3 4 5 6 $_SESSION['dernier_acces']=time(); if(time()-$_SESSION['dernier_acces']>10) { session_destroy(); }
Ici $_SESSION['dernier_acces'] va être égal à time(), donc la condition ne sera jamais validé.
10/05/2006, 18h55
psychoBob
Bon alors j'ai essayé ça :

Lors de l'identification :
Code:

1 2 $_SESSION['premier_acces']=time();
A chaque page :
Code:

1 2 3 4 5 6 $_SESSION['dernier_acces']=time(); if($_SESSION['dernier_acces']-$_SESSION['premier_acces']>10) { session_destroy(); }
Je pensais que cela allait fonctionner, mais non, au bout de 10 secondes, actif ou non, l'utilisateur est déconnecté.

**bon c'est normal que ça foire en fait. je fais quoi alors ?

Et simplement

Code:

1
2
3
4
5
6
7
8
9
 
if(time()-$_SESSION['dernier_acces']>x) 
{
  session_destroy(); 
}
else
{
$_SESSION['dernier_acces'] = time();
}

non ?

10/05/2006, 19h35
psychoBob

:merci:

Une question paranormale :
1) J'affiche une page.
2) J'attend 11 secondes (temps de déconnexion fixée à 10 pour le test).
3) J'affiche une nouvelle page : toujours connecté.
4) J'affiche encore une nouvelle page : cette fois je suis déconnecté.

Pourquoi le message de déconnexion n'apparait-il pas dès l'étape 3 ?
10/05/2006, 19h38
ouatmad

renforce session_destroy par session_unset() et autres chose si y'en a
10/05/2006, 19h40
psychoBob

Parce que session_destroy() ne détruit pas elle-même toutes les variables de session ?
10/05/2006, 19h52
ouatmad

Citation:

Envoyé par psychoBob

Parce que session_destroy() ne détruit pas elle-même toutes les variables de session ?

Citation:

session_destroy()
Si l'on peut créer une session, il faut pouvoir la détruire. c'est simple avec cette fonction , il suffit de l'appeler et la session en cours sera supprimée.
Il faut tout de même remarquer que les variables globales apportées par cette session avant sa destruction ne sont pas
supprimées. Pour cela, il faut utiliser la fonction session_unset() .
10/05/2006, 19h55
psychoBob
Ok, merci Ouatmad

Donc je fais simplement
Code:

1 2 3 4 5 6 if(time()-$_SESSION['dernier_acces']>10) { session_destroy(); session_unset(); }
Pas besoin pour chaque variable de session de faire session_unset(variable1) ?