[Sécurité] Détruire la session au bout de x minutes d'inactivité : même si actif...
Bonjour,
Je continue la lutte contre les sessions php et là un nouvel obstacle se présente.
Je veux qu'après x minutes d'inactivité, la session se détruise toute seule.
J'ai donc commis la chose suivante :
1) Lors de l'identification:
Code:
1 2
|
$_SESSION['dernier_acces']=time(); |
2) Dans les pages :
Code:
1 2 3 4 5
|
if(time()-$_SESSION['dernier_acces']>x)
{
session_destroy();
} |
Mais là il se trouve que même si l'utilisateur s'excite comme un fou sur le site, il est de toute façon déconnecté sans vergogne au bout de x minutes.
D'où ma question audacieuse : Où ai-je bavé ?
Et j'en profite même pour poser une deuxième question tout aussi audacieuse : qu'elle est la valeur convenable pour x, du point de vue de l'ergonomie et de la sécurité ?