Innlogging: Sletting av sessions

[jtsorensen]

Hei

 

Jeg lurte på når det var best å slette sessions som inneholder innloggingsinformasjon?

 

Sletting av sessions ved loggut er jo greit...

 

Er det flere måter å gjøre det på, med tanke på abnormal avlogging?

Endret 15. februar 2006 av jtsorensen

[neivoll]

Sessions blir jo slettet av seg selv etter en bestemt tid (standard er rundt 20 minutter eller no sånt?)

 

Hvis ikke bruker du jo session_unset(); og session_destroy();

 

edit: Mulig jeg misforsto spørsmålet...?

Endret 15. februar 2006 av anners

[jtsorensen]

Det var nok jeg som forklarte litt dårlig...

 

Saken er slik at en 20 min standardtimeout er for lang tid, med tanke på at om man skulle gå fra mine sider og surfe litt på andre sider... så innen 20 min kan man bare ta back og ha full tilgang til mine sider... Dette er en av problemene jeg ønsker å elemenere.

 

Jeg har hørt at det går ann å sette timeout i html til 0 og dette skal medføre at siden blir lastet på nytt når man benytter seg av back. Noen som vet hvordan dette kan gjøres? eventuelt om det er vanlig eller ikke?

[jtsorensen]

Slik kan ødelegger man session ved logg ut:

$_SESSION = array();

if (isset($_COOKIE[session_name()])) {
  setcookie(session_name(), '', time()-42000, '/');
}

 

Men hvordan får jeg lagt til en timeout?

[NH]

enten kan du legge til time i en session selv:

 

//innlogging:
$_SESSION['login_time'] = time();


//ved kontrolering om bruker er innlogget:
if($_SESSION['login_time'] < time() + 900){
 //Brukeren har vært borte i mere enn et kvarter
}

 

andre muligheten er å nidlertidig endre oppsettet til php.

 

//før du starter en session ved innlogging
ini_set ( session.cookie_lifetime, 900); //900 er anntall sekunder session skal leve)

 

(merk: sistnevnte er mere usikker da en bruker selv kan endre kjeksen til sessionen din om han vil og da øke timeouten)

 

Anners:

En session blir ikke normalt sett slettet etter en viss tid, men når du lukker browseren din (dette er fordi session id lagres på klientens marskin som cookie og cookie lifetime default er 0 (0 betyr når brpwseren lukkes))

 

Dette er det noen server admins som endrer på selfølgelig, men default er altså så lenge browservinduet er oppe.

Endret 15. februar 2006 av NH