独自のセッションタイムアウトを実装する必要があります。他の人が言及した両方のオプション( session.gc_maxlifetime および session.cookie_lifetime )は信頼できません。その理由を説明します。
最初:
session.gc_maxlifetime
session.gc_maxlifetimeは、データが「ガーベッジ」として認識され、クリーンアップされるまでの秒数を指定します。ガベージコレクションは、セッションの開始時に発生します。
ただし、ガベージコレクターは、 session.gc_probability を session.gc_divisor で割った確率でのみ開始されます。そして、それらのオプションのデフォルト値(それぞれ1と100)を使用すると、チャンスは1%になります。
ガベージコレクターがより頻繁に開始されるように、これらの値を調整するだけで済みます。ただし、ガベージコレクターが開始されると、登録されたすべてのセッションの有効性がチェックされます。そして、それは費用がかかります。
さらに、PHPのデフォルトの session.save_handler ファイルを使用する場合、セッションデータは session.save_pathで指定されたパスのファイルに保存されます。 = 。そのセッションハンドラーでは、セッションデータの経過時間はファイルの最終変更日で計算され、最終アクセス日ではありません。
注:デフォルトのファイルベースのセッションハンドラを使用している場合、ファイルシステムはアクセス時間(atime)を追跡する必要があります。 Windows FATはそうではないので、FATファイルシステムまたはatime追跡が利用できない他のファイルシステムでスタックしている場合、セッションのガベージコレクションを処理する別の方法を考え出す必要があります。 PHP 4.2.3以降、atimeの代わりにmtime(変更日)を使用しました。そのため、atime追跡が利用できないファイルシステムで問題は発生しません。
そのため、セッションデータが最近更新されていないため、セッション自体がまだ有効であると見なされている間に、セッションデータファイルが削除される場合があります。
そして2番目:
session.cookie_lifetime
session.cookie_lifetimeは、ブラウザに送信されるCookieの有効期間を秒単位で指定します。 […]
はい、そうです。これはCookieの有効期間にのみ影響し、セッション自体は引き続き有効です。ただし、クライアントではなく、セッションを無効にするのはサーバーのタスクです。したがって、これは何の助けにもなりません。実際、session.cookie_lifetimeを0に設定すると、セッションのCookieは実際になります セッションCookie は、ブラウザーが閉じられるまで有効です。
結論/最良の解決策:
最善の解決策は、独自のセッションタイムアウトを実装することです。最後のアクティビティ(つまり、リクエスト)の時間を示す単純なタイムスタンプを使用し、リクエストごとに更新します。
if (isset($_SESSION['LAST_ACTIVITY']) && (time() - $_SESSION['LAST_ACTIVITY'] > 1800)) {
// last request was more than 30 minutes ago
session_unset(); // unset $_SESSION variable for the run-time
session_destroy(); // destroy session data in storage
}
$_SESSION['LAST_ACTIVITY'] = time(); // update last activity time stamp
リクエストごとにセッションデータを更新すると、セッションファイルの変更日も変更されるため、ガベージコレクタによってセッションが途中で削除されることはありません。
追加のタイムスタンプを使用して、セッションIDを定期的に再生成し、 セッション固定 のようなセッションへの攻撃を回避することもできます。
if (!isset($_SESSION['CREATED'])) {
$_SESSION['CREATED'] = time();
} else if (time() - $_SESSION['CREATED'] > 1800) {
// session started more than 30 minutes ago
session_regenerate_id(true); // change session ID for the current session and invalidate old session ID
$_SESSION['CREATED'] = time(); // update creation time
}
注:
session.gc_maxlifetimeは、少なくともこのカスタム有効期限ハンドラーの有効期間(この例では1800)と等しくなければなりません。- 30分後アクティビティではなく30分後にセッションを期限切れにしたい場合は、開始時の代わりに、
setcookieを期限切れに使用する必要があります。time()+60*30は、セッションCookieをアクティブに保ちます。
30分でPHPセッションの有効期限が切れる簡単な方法。
注:時間を変更したい場合は、30を希望の時間に変更し、* 60は変更しないでください。
数分で(30 * 60)
日数:(n * 24 * 60 * 60)n =日数なし
Login.php
<?php
session_start();
?>
<html>
<form name="form1" method="post">
<table>
<tr>
<td>Username</td>
<td><input type="text" name="text"></td>
</tr>
<tr>
<td>Password</td>
<td><input type="password" name="pwd"></td>
</tr>
<tr>
<td><input type="submit" value="SignIn" name="submit"></td>
</tr>
</table>
</form>
</html>
<?php
if (isset($_POST['submit'])) {
$v1 = "FirstUser";
$v2 = "MyPassword";
$v3 = $_POST['text'];
$v4 = $_POST['pwd'];
if ($v1 == $v3 && $v2 == $v4) {
$_SESSION['luser'] = $v1;
$_SESSION['start'] = time(); // Taking now logged in time.
// Ending a session in 30 minutes from the starting time.
$_SESSION['expire'] = $_SESSION['start'] + (30 * 60);
header('Location: http://localhost/somefolder/homepage.php');
} else {
echo "Please enter the username or password again!";
}
}
?>
HomePage.php
<?php
session_start();
if (!isset($_SESSION['luser'])) {
echo "Please Login again";
echo "<a href='http://localhost/somefolder/login.php'>Click Here to Login</a>";
}
else {
$now = time(); // Checking the time now when home page starts.
if ($now > $_SESSION['expire']) {
session_destroy();
echo "Your session has expired! <a href='http://localhost/somefolder/login.php'>Login here</a>";
}
else { //Starting this else one [else1]
?>
<!-- From here all HTML coding can be done -->
<html>
Welcome
<?php
echo $_SESSION['luser'];
echo "<a href='http://localhost/somefolder/logout.php'>Log out</a>";
?>
</html>
<?php
}
}
?>
LogOut.php
<?php
session_start();
session_destroy();
header('Location: http://localhost/somefolder/login.php');
?>
これは設定時間後にユーザーをログアウトさせるためのものですか?登録時にセッション作成時刻(または有効期限)を設定し、各ページでそれをチェックすることで対応できます。
例えば。:
$_SESSION['example'] = array('foo' => 'bar', 'registered' => time());
// later
if ((time() - $_SESSION['example']['registered']) > (60 * 30)) {
unset($_SESSION['example']);
}
編集: 私はあなたが何か他のものを意味している気がします。
session.gc_maxlifetime ini設定を使用することで、特定の寿命の後にセッションを廃棄することができます。
編集: ini_set( 'session.gc_maxlifetime'、60 * 30);
この投稿では、セッションタイムアウトを制御する方法をいくつか紹介します。 http://bytes.com/topic/php/insights/889606-setting-timeout-php-sessions
私見第二の選択肢はいい解決策です:
<?php
/***
* Starts a session with a specific timeout and a specific GC probability.
* @param int $timeout The number of seconds until it should time out.
* @param int $probability The probablity, in int percentage, that the garbage
* collection routine will be triggered right now.
* @param strint $cookie_domain The domain path for the cookie.
*/
function session_start_timeout($timeout=5, $probability=100, $cookie_domain='/') {
// Set the max lifetime
ini_set("session.gc_maxlifetime", $timeout);
// Set the session cookie to timout
ini_set("session.cookie_lifetime", $timeout);
// Change the save path. Sessions stored in teh same path
// all share the same lifetime; the lowest lifetime will be
// used for all. Therefore, for this to work, the session
// must be stored in a directory where only sessions sharing
// it's lifetime are. Best to just dynamically create on.
$seperator = strstr(strtoupper(substr(PHP_OS, 0, 3)), "WIN") ? "\\" : "/";
$path = ini_get("session.save_path") . $seperator . "session_" . $timeout . "sec";
if(!file_exists($path)) {
if(!mkdir($path, 600)) {
trigger_error("Failed to create session save path directory '$path'. Check permissions.", E_USER_ERROR);
}
}
ini_set("session.save_path", $path);
// Set the chance to trigger the garbage collection.
ini_set("session.gc_probability", $probability);
ini_set("session.gc_divisor", 100); // Should always be 100
// Start the session!
session_start();
// Renew the time left until this session times out.
// If you skip this, the session will time out based
// on the time when it was created, rather than when
// it was last used.
if(isset($_COOKIE[session_name()])) {
setcookie(session_name(), $_COOKIE[session_name()], time() + $timeout, $cookie_domain);
}
}
さて、私は上記の答えは正しいが、それらはアプリケーションレベルであることを理解しています、なぜ有効期限を設定するために単に.htaccessファイルを使わないのですか?
<IfModule mod_php5.c>
#Session timeout
php_value session.cookie_lifetime 1800
php_value session.gc_maxlifetime 1800
</IfModule>
if (isSet($_SESSION['started'])){
if((mktime() - $_SESSION['started'] - 60*30) > 0){
//Logout, destroy session, etc.
}
}
else {
$_SESSION['started'] = mktime();
}
これを行うにはsession_set_cookie_params関数を使用してください。
session_start()呼び出しの前にこの関数を呼び出す必要があります。
これを試して:
$lifetime = strtotime('+30 minutes', 0);
session_set_cookie_params($lifetime);
session_start();
もっと詳しく見る: http://php.net/manual/function.session-set-cookie-params.php
以下のような機能で、実は簡単です。データベーステーブル名 'sessions'とフィールド 'id'および 'time'を使用します。
ユーザーがあなたのサイトやサービスに再びアクセスするたびに、あなたはその戻り値がTRUEであるかどうかチェックするためにこの関数を呼び出すべきです。 FALSEの場合、ユーザーは期限切れになり、セッションは破棄されます(注:この関数はデータベースに接続して照会するためにデータベースクラスを使用します。もちろん、関数内などでも使用できます)
function session_timeout_ok() {
global $db;
$timeout = SESSION_TIMEOUT; //const, e.g. 6 * 60 for 6 minutes
$ok = false;
$session_id = session_id();
$sql = "SELECT time FROM sessions WHERE session_id = '".$session_id."'";
$rows = $db->query($sql);
if ($rows === false) {
//Timestamp could not be read
$ok = FALSE;
}
else {
//Timestamp was read succesfully
if (count($rows) > 0) {
$zeile = $rows[0];
$time_past = $zeile['time'];
if ( $timeout + $time_past < time() ) {
//Time has expired
session_destroy();
$sql = "DELETE FROM sessions WHERE session_id = '" . $session_id . "'";
$affected = $db -> query($sql);
$ok = FALSE;
}
else {
//Time is okay
$ok = TRUE;
$sql = "UPDATE sessions SET time='" . time() . "' WHERE session_id = '" . $session_id . "'";
$erg = $db -> query($sql);
if ($erg == false) {
//DB error
}
}
}
else {
//Session is new, write it to database table sessions
$sql = "INSERT INTO sessions(session_id,time) VALUES ('".$session_id."','".time()."')";
$res = $db->query($sql);
if ($res === FALSE) {
//Database error
$ok = false;
}
$ok = true;
}
return $ok;
}
return $ok;
}
セッションにタイムスタンプを保存する
<?php
$user = $_POST['user_name'];
$pass = $_POST['user_pass'];
require ('db_connection.php');
// Hey, always escape input if necessary!
$result = mysql_query(sprintf("SELECT * FROM accounts WHERE user_Name='%s' AND user_Pass='%s'", mysql_real_escape_string($user), mysql_real_escape_string($pass));
if( mysql_num_rows( $result ) > 0)
{
$array = mysql_fetch_assoc($result);
session_start();
$_SESSION['user_id'] = $user;
$_SESSION['login_time'] = time();
header("Location:loggedin.php");
}
else
{
header("Location:login.php");
}
?>
ここで、タイムスタンプが許容時間内にあるかどうかを確認します(1800秒は30分です)
<?php
session_start();
if( !isset( $_SESSION['user_id'] ) || time() - $_SESSION['login_time'] > 1800)
{
header("Location:login.php");
}
else
{
// uncomment the next line to refresh the session, so it will expire after thirteen minutes of inactivity, and not thirteen minutes after login
//$_SESSION['login_time'] = time();
echo ( "this session is ". $_SESSION['user_id'] );
//show rest of the page and all other content
}
?>
すべてのページにロードされたインクルードファイル内の次のコードブロックを使用してください。
$expiry = 1800 ;//session expiry required after 30 mins
if (isset($_SESSION['LAST']) && (time() - $_SESSION['LAST'] > $expiry)) {
session_unset();
session_destroy();
}
$_SESSION['LAST'] = time();
30分このクラスを使う
class Session{
public static function init(){
ini_set('session.gc_maxlifetime', 1800) ;
session_start();
}
public static function set($key, $val){
$_SESSION[$key] =$val;
}
public static function get($key){
if(isset($_SESSION[$key])){
return $_SESSION[$key];
} else{
return false;
}
}
public static function checkSession(){
self::init();
if(self::get("adminlogin")==false){
self::destroy();
header("Location:login.php");
}
}
public static function checkLogin(){
self::init();
if(self::get("adminlogin")==true){
header("Location:index.php");
}
}
public static function destroy(){
session_destroy();
header("Location:login.php");
}
}
DBを代わりに使用して代替として使用することができます。私はchk_lgnを呼び出すことをそれをするためにDB関数を使用します。
ログインチェックをチェックして、ログインしているかどうかを確認します。その際、チェックの日付タイムスタンプが、ユーザーのdb行/列で最後にアクティブに設定されます。
私もそこで時間チェックをします。私はすべてのページでこの機能を使用しているので、これはしばらくの間私には役立ちます。
P.S純粋なDBソリューションを提案した人はいませんでした。
タイムスタンプを使用しています...
<?php
if (!isset($_SESSION)) {
$session = session_start();
}
if ($session && !isset($_SESSION['login_time'])) {
if ($session == 1) {
$_SESSION['login_time']=time();
echo "Login :".$_SESSION['login_time'];
echo "<br>";
$_SESSION['idle_time']=$_SESSION['login_time']+20;
echo "Session Idle :".$_SESSION['idle_time'];
echo "<br>";
} else{
$_SESSION['login_time']="";
}
} else {
if (time()>$_SESSION['idle_time']){
echo "Session Idle :".$_SESSION['idle_time'];
echo "<br>";
echo "Current :".time();
echo "<br>";
echo "Session Time Out";
session_destroy();
session_unset();
} else {
echo "Logged In<br>";
}
}
?>
タイムスタンプを使用してセッションを期限切れにするのに20秒を使用しました 。
30分必要ならば1800を加えなさい(30分の秒)….