Discussion :

[psychoBob]

Bonjour,

Je continue la lutte contre les sessions php et là un nouvel obstacle se présente.

Je veux qu'après x minutes d'inactivité, la session se détruise toute seule.
J'ai donc commis la chose suivante :

1) Lors de l'identification:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$_SESSION['dernier_acces']=time();

2) Dans les pages :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
if(time()-$_SESSION['dernier_acces']>x) 
{
  session_destroy(); 
}

Mais là il se trouve que même si l'utilisateur s'excite comme un fou sur le site, il est de toute façon déconnecté sans vergogne au bout de x minutes.


D'où ma question audacieuse : Où ai-je bavé ?

Et j'en profite même pour poser une deuxième question tout aussi audacieuse : qu'elle est la valeur convenable pour x, du point de vue de l'ergonomie et de la sécurité ?

[goldorax113]

salut,

tu dis que tu fais

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

 $_SESSION['dernier_acces']=time();

lors de l'indentification, mais faudrait it pas que tu le fasse à chaque fois qu'une page est chargée

parce que sinon c normal qu'au bout de x minutes l'user se fasse deconnecter...

Nico

[psychoBob]

Oui, mais non, non ?

Si je fais, sur chaque page:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$_SESSION['dernier_acces']=time(); 
if(time()-$_SESSION['dernier_acces']>10) 
{
  session_destroy(); 
}

Ici $_SESSION['dernier_acces'] va être égal à time(), donc la condition ne sera jamais validé.

[psychoBob]

Bon alors j'ai essayé ça :

Lors de l'identification :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$_SESSION['premier_acces']=time();

A chaque page :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$_SESSION['dernier_acces']=time();
if($_SESSION['dernier_acces']-$_SESSION['premier_acces']>10) 
{
  session_destroy(); 
}

Je pensais que cela allait fonctionner, mais non, au bout de 10 secondes, actif ou non, l'utilisateur est déconnecté.

**bon c'est normal que ça foire en fait. je fais quoi alors ?

[ePoX]

Et simplement

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
if(time()-$_SESSION['dernier_acces']>x) 
{
  session_destroy(); 
}
else
{
$_SESSION['dernier_acces'] = time();
}

non ?

[psychoBob]

Une question paranormale :
1) J'affiche une page.
2) J'attend 11 secondes (temps de déconnexion fixée à 10 pour le test).
3) J'affiche une nouvelle page : toujours connecté.
4) J'affiche encore une nouvelle page : cette fois je suis déconnecté.

Pourquoi le message de déconnexion n'apparait-il pas dès l'étape 3 ?

[ouatmad]

renforce session_destroy par session_unset() et autres chose si y'en a

[psychoBob]

Parce que session_destroy() ne détruit pas elle-même toutes les variables de session ?

[ouatmad]

Parce que session_destroy() ne détruit pas elle-même toutes les variables de session ?

session_destroy()
Si l'on peut créer une session, il faut pouvoir la détruire. c'est simple avec cette fonction , il suffit de l'appeler et la session en cours sera supprimée.
Il faut tout de même remarquer que les variables globales apportées par cette session avant sa destruction ne sont pas
supprimées. Pour cela, il faut utiliser la fonction session_unset() .

[psychoBob]

Ok, merci Ouatmad

Donc je fais simplement

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if(time()-$_SESSION['dernier_acces']>10) 
{
  session_destroy(); 
  session_unset();
}

Pas besoin pour chaque variable de session de faire session_unset(variable1) ?