Tutorials >
PHP >
Sessies in PHP
|
|
 Gepost op: 03 oktober 2004 - 16:54 |
|
|
|
Moderator
 |
Om ervoor te zorgen dat er geen SID in je URL staat doe je het volgende:
Gebruik de volgende instellingen in alle pagina's waarin je sessies gebruikt en stel deze in VOORDAT je je sessie start:
ini_set("session.use_trans_sid", "0");
ini_set("session.use_trans_sid", "0");
betekenis: geeft aan of het doorgeven van sessie-id's via de URL wordt ondersteund (default = 0)
ini_set("url_rewriter.tags", "");
betekenis: geeft aan welke HTML tags herschreven moeten worden (aan welke tags er een sessie-id toegevoegd moet worden) als transparent sessie id support aan staat. Die heb je hierboven al uitgezet, dus dit zou je niet hoeven te gebruiken, ik heb wel een situatie meegemaakt waarin ik deze naast use_trans_sid moest gebruiken, omdat die het om een of andere reden niet deed (default "a=href,area=href,frame=src,input=src,form=fakeentry,fieldset=")
ini_set("session.use_cookies", "1");
ini_set("session.use_cookies", "1");
betekenis: geeft aan of de client een cookie dient te gebruiken om hier het sessie-id in op te slaan (default 1)
ini_set("session.use_only_cookies", "1")
ini_set("session.use_only_cookies", "1")
(vanaf PHP v4.3.0)
betekenis: geeft aan of de client enkel cookies dient te gebruiken om het sessie-id op te slaan (default 0)
Deze ini_sets gezamenlijk zouden moeten garanderen dat er geen SID meer in je URL voorkomt. |
|
|
|
|
| Gepost op: 14 november 2004 - 20:37 |
|
|
|
Moderator
|
Wanneer je je sessie gebruikt om formulierwaarden tijdelijk op te slaan, en je wilt na afloop de sessie weer "schoonmaken", met uitzondering van je standaard sessie-variabelen, dan kun je de volgende functie gebruiken:
<?php
// schoont het array $arr op, met uizondering van de keys in $exclude
/*
parameter: $arr (array) het array dat opgeschoond dient te worden
parameter: $exclude (array) de variabelen die ongemoeid moeten blijven
post: Het array $arr is opgeschoond (ge-unset), met uitzondering van de keys die voorkomen in $exclude
returns: (array) een array met de keys van de verwijderde items
Gebruik, om formuliervariabelen uit je sessie te verwijderen:
cleanup($_SESSION, array("loggedIn", "id", "user"));
Deze laat de sessie-variabelen "loggedIn", "id" en "user" ongemoeid
*/
function cleanup(&$arr, $exclude) {
$removed = array();
foreach($arr as $k => $v) {
if(!in_array($k, $exclude)) {
unset($arr[$k]);
$removed[] = $k;
}
}
return $removed;
}
?>
<?php // schoont het array $arr op, met uizondering van de keys in $exclude /* parameter: $arr (array) het array dat opgeschoond dient te worden parameter: $exclude (array) de variabelen die ongemoeid moeten blijven post: Het array $arr is opgeschoond (ge-unset), met uitzondering van de keys die voorkomen in $exclude returns: (array) een array met de keys van de verwijderde items Gebruik, om formuliervariabelen uit je sessie te verwijderen: cleanup($_SESSION, array("loggedIn", "id", "user")); Deze laat de sessie-variabelen "loggedIn", "id" en "user" ongemoeid */ function cleanup(&$arr, $exclude) { foreach($arr as $k => $v) { $removed[] = $k; } } return $removed; } ?>
Wat je natuurlijk ook kunt doen, is alle formuliervariabelen in een array in je sessie stoppen (bijvoorbeeld formvars()). Je kunt dan volstaan met:
<?php
unset($_SESSION['formvars']);
?>
<?php unset($_SESSION['formvars']); ?>
|
|
|
|
|
| Gepost op: 02 april 2005 - 17:29 |
|
|
|
Onbekend
|
Ik vind eigenlijk dat een klein dingetje mist, een verloopdatum instellen van een sessie. bijvoorbeeld:
session.cookielifetime = 3600 // onthoud sessie 1 uur
session.cookielifetime = 3600 // onthoud sessie 1 uur
Verder perfect. 4,5 |
|
|
|
|
| Gepost op: 03 april 2005 - 12:32 |
|
|
|
Moderator
|
Dat is de houdbaarheidsduur van het cookie dat verwijst naar de sessie.
Ik vraag me af wat er gebeurt als je langer dan session.gc_maxlifetime seconden wacht dan.
Je hebt dan nog wel een verwijzing naar je sessie (via je cookie) maar je sessie zelf is verlopen...
EDIT: ik heb nog even het een en ander zitten proberen (op zowel een Windows- als een LINUX-webserver), en hier kwam het volgende uit:
Op een Windows-webserver (althans de mijne) wordt de verlooptijd van het cookie genaamd "PHPSESSID" NIET geupdate als je de pagina refreshed (wat je misschien wel zou verwachten).
Als je dus om 16:37:19 een sessie start, en session.cookie_lifetime staat ingesteld op 3600 (seconden), dan loopt je sessie hoe dan ook om 17:37:19 af.
Maar je moet nog met iets anders rekening houden, namelijk session.gc_maxlifetime (default 1440 seconden = 24 minuten) en session.gc_probability (default 1) en session.gc_divisor (default 100).
Na gc_maxlifetime seconden inactiviteit wordt het sessie-bestand als "afval" beschouwd en is er een kans van gc_probability / gc_divisor % (default 1% dus) dat de sessie wordt opgeruimd.
Hier komt ook nog eens bij dat windows geen ACCESS-tijden bijhoudt, alleen maar MODIFICATION-tijden (dus datum+tijd wanneer een bestand van inhoud verandert). Omdat de sessie-inhoud niet noodzakelijkerwijs wordt veranderd als een pagina waarbij van sessies gebruik gemaakt wordt wordt opgevraagd, heb je hier dus nog een probleem op een Windows-webserver (zie de toelichting op PHP.net) - sessies zouden dus op Windows-servers op een gegeven moment ten onrechte als "afval" gezien kunnen worden als ik het allemaal goed begrijp.
Op een webserver op een UNIX-systeem schijnt de verlooptijd van een cookie wel geupdate te worden als je een pagina opvraagt die gebruik maakt van een cookie-based sessie.
Een sessie houdt dus zeker op met bestaan als de tijd van laatste pagina access + cookie_lifetime is verstreken zonder dat de pagina is ververst, maar al veel eerder (na 1440 seconden of 24 minuten) bestaat de kans (default 1%) dat je sessie wordt opgeruimd.
In het interval 24-60 minuten inactiviteit bestaat dus al de kans dat je sessie weg is, session.cookie_lifetime zegt dus niet alles !!! |
|
|
|
|
| Gepost op: 08 juni 2005 - 20:32 |
|
|
|
HTML gevorderde
|
Bij paragraaf 9, heb je een link staan naar een verouderde versie van je script, en werkt dus niet...  |
|
|
|
|
| Gepost op: 01 oktober 2015 - 12:13 |
|
|
|
Moderator
|
Een niet heel onbelangrijke toevoeging: het doel van sessies is dus in wezen het (op een veilige manier) onthouden van gegevens over meerdere pagina's van een website.
HTTP is stateless, dat wil zeggen: houdt geen historie bij van wat het voorheen deed. Als je op een website van pagina A naar pagina B navigeert, weet je op pagina B in principe niet meer dat je van A afkomstig bent.
Om dus bijvoorbeeld te onthouden dat je op enig moment succesvol bent ingelogd (en je daarmee toegang krijgt tot andere content en functionaliteit) zul je dit op een andere manier moeten onthouden (cookie of sessie).
---
Voor het volledig (handmatig) afsluiten van een sessie dient ook het sessie cookie verwijderd te worden, het afsluiten van een sessie moet dus eigenlijk als volgt:
<?php
// @see php.net/session_destroy
// Empty $_SESSION.
$_SESSION = array();
// Do not close the session as this will make it readonly, preventing the physical file from being deleted.
// Delete session cookie.
if (ini_get('session.use_cookies')) {
$params = session_get_cookie_params();
setcookie(
session_name(),
'',
time() - 42000,
$params['path'],
$params['domain'],
$params['secure'],
$params['httponly']
);
}
// Destroy the session.
session_destroy();
?>
<?php // @see php.net/session_destroy // Empty $_SESSION. // Do not close the session as this will make it readonly, preventing the physical file from being deleted. // Delete session cookie. if (ini_get('session.use_cookies')) { '', $params['path'], $params['domain'], $params['secure'], $params['httponly'] ); } // Destroy the session. ?>
---
Naast ini_set() kun je ook met de volgende functie het session_path instellen:
<?php
session_save_path('/pad/naar/sessie/dir');
?>
Zorg ervoor dat dit pad buiten je webdirectory valt.
Met name bij shared hosting loont het de moeite om handmatig een pad in te stellen omdat je anders mogelijk het sessiepad deelt met andere gebruikers. Dit is tevens een reden om voorzichtig om te springen met de data die je in een sessie zet. Zo is het namelijk helemaal niet nodig om hier al je gebruikers-data (zoals een wachtwoord) in te dumpen. |
|
|
| Enkel aanvullende informatie is welkom. Geen prijzende of afkeurende reacties. |
|
|
|
Wat is jouw favoriete javascript framework? (S: 18, R: 2)
