Lebensdauer der Sessions auf dem Server?

[Darky[TA-UF]]

Hi all, man ne Kleine Frage:
Die Sessions die Auf dem Server erzeugt werden, wie lange Leben sie ?
Also ich hab das Problem, dass bei meinem Localen Webserver(WAMP) immer wieder neue Session erzeugt werden, aber die Alten Sessions nicht gelöscht werden. Ist es auf einem Linux Server anders ??? Ich meine Jetzt domain Hoster... Ein Kumpel von mir hat da ne domain mit 10 MB. Und wenn diese Session datein nicht gelöscht werden, wird ja irgend wann nach paar monaten ja der Space ja knapp oder ???

 

[Tim C.]

also wenn ich mich nicht seht doll täusche, dann lebt eine session genau solange, bis der client den browser schließt, danach "stirbt" die session.

freaks mögen mich bidde korrigieren

 

[René Paschold]

Nein wird er nicht. Die Session werden

a) In einem Temp Ordner gespeichert welcher normalerweise nicht in deinem Webspace ist.

b) Standardmäßig nach 60 Minuten gelöscht, wenn keine User Löschung erflogt.

c)
session.gc_maxlifetime = 1440
session.cache_expire = 180

Du hast allerdings im normalfall keinen Zugriff auf die php.ini

@leuchte
Wenn du den Server verlässt und den Browser schließt, die URL inklusive der Session ID aber noch per STRG+C kopiert hast, kannst du nach einer Weile wieder drauf und die Session ist noch aktiv.

Allerdings schreiben die meisten Coder (oder sollten sie zumindest) das eine Session nach, von mir aus 10 Min inaktivität gelöscht wird. Aber Prinzipiell bleiben die Sessions so lange erhalten wie es in der php.ini konfiguriert ist!

 

[Tim C.]

mmm kay, dann hab ich das wohl mit irgendwas anderes verwechselt, aber wenn man ne session für sachen mit passwörtern macht, würd ich eh ne kill time von ganz wenig zeit nehmen oder beim schließen kill_session()

 

[René Paschold]

Sowieso, sollte man immer machen.

Kannst du dich noch daran erinnern als GMX so große Probleme mit Hackern hatte? Genau das war das Problem. Da haben Hacker GMX Leute eine Email geschrieben und haben die Session ausgelesen. Da die meisten direkt auf den Link geklickt haben.

GMX hatte den Fehler, das auch beim öffnen neuer Fenster aus dem Programm heraus die Session mitgegeben wurde. So, wenn das jetzt jemand gemacht hat ohne sich vorher auszuloggen dann war der Hack drin

Und genau deswegen sollte man die Session immer zerstören wenn man sich ausloggt!

 

[SirNeo]

Auf dem Server bleiben die Sessions nur eine bestimmte Zeit bestehen, wie oben schon erwähnt kann dies eingestellt werden.

Wenn du den Browser schließt wird diese nicht gelöscht, du bekommst aber eine neue beim erneuten öfnen, deswegen sollte die alte nicht mehr funktionieren. Aber wennn es um Passwörter geht würde ich die auch zerstören, die Daten stehen immerhin noch in der Datei, bei Counter ist es recht egal, ob sie nun zerstört werden oder aber automatisch vom Server gelöscht werden.

Sollte ich da was falsch verstanden haben, belehrt mch bitte eines besseren, bin mir bei sessions auch nie 100%ig sicher.

 

[René Paschold]

Doch, hast es schon richtig verstanden, nur in einem Punkt muss ich dich belehren

Du bekommst beim neuen anmelden eine neue SessionID das stimmt, aber wenn du jetzt die komplette URL (also auch die SessionID) mit speicherst (vorrausgesetzt die SessionID wird per URL und nicht per Cookie übergeben) dann hast du wieder die alten Daten.

Ist ja auch logisch, denn im normfall prüft das Programm ob schon eine SessionID vorhanden ist. Falls nicht lege eine neue an. Somit hast du ja eine und wenn diese noch auf dem System gespeichert ist wird auch der Inhalt dieser Session verwendet.

 

[SirNeo]

THX, das hatte ich noch nicht bedacht, man lernt nie aus.

 

[René Paschold]

Jo ich auch nicht auch wenn ich schon vieles weiss

Ne im Ernst, Session ist schon geil, wird aber oftmals unterschätzt. Wenn man ganz sicher arbeiten will würde ich mit Sessions und Cookies arbeiten. Also die SessionID im Cookie speichern.

Das Cookie natürlich nur auf eine Domain begrenzen und eine Lebensdauer einbauen. Das gleich auch mit Session.

Wenn dein Provider es zuläßt kannst du die Session Lebensdauer mit

ini_set("setting",wert);

setzen, werden aber wohl die wenigsten tun.

 

[Gudy]

In php5 soll es dann aber einen Destruktor geben, dann kann man die Session auch beim schließen des Browsers die Session löschen!