Alg. Fragen zu Session

A

aargau

Erfahrenes Mitglied
Da ich meine Page komplett neu aufbaue habe ich eine kleine bzw. mehrere kleine Fragen bezüglich Sessions und deren Sicherheit.

  1. Werden Sessions immer auf der Festplatte gespeichert oder können sie auch im RAM sein?
  2. Ist es wichtig eine Session Cache Zeit zu bestimmen? Sind die Sessions nach dieser Zeit gelöscht?
  3. Kann man Sessions auch in einem Userdefinieren Ordner ablegen um zusätzlich Sicherheit in das ganze zu bringen?

Am liebsten hätte ich wenn die Sessions beim verlassen der Webseite Automatisch gelöschen werden, damit sich sicher niemand mit der selben Session ID einloggen kann. Ist dies möglich?
 
1.
Sie sind zwar auf der Festplatte des Servers(glaub ich:))
2.
Wenn du etwas Sicherheit reinbringen willst,solltest du die Ablaufzeit auf ca. 2 Stunden einstellen oder du lässt den User entscheiden.
3.
Das kannst du einstellen mit
Aber beachte:muss vor
PHP: 
session_start();
angegeben werden!
PHP: 
session_savepath("/var/www/apache/DeinArbeitsordnerDesScripts/Benutzerordner");
Doku unter http://de.php.net/manual/de/function.session-save-path.php
 
Danke dir für die schnelle Antwort.
Wenn ich nun die Zeit auf 2. Stunden beschränke, der User aber länger eingeloggt ist, würde er dann rausfliegen oder könnte ich die Zeit auch bei jedem Seitenaufruf neu auf 2H setzen?
Der User sol auch beim Schließen des Browsers noch eingeloggt bleiben, damit dies jedoch sicher ist speichere ich nicht die session ID in einem Cookie sondern erstelle beim Login ein Cookie mit einem separatem code so wie ein Eintrag in die DB. Sobald der User dann mit dem Cookie kommt wird die DB nach der Cookie ID (hash aus verschiedenen werten) durchsucht und allenfals wieder eine Session erstellt, oder zur Loginpage umgeleitet.
Ist dies Sicherer als direkt die Session in ein Cookie zu Speichern?
 
Der User würde dann Rausfliegen.
Aber du kannst bei zb. nur noch 10 Min. Gültigkeit Einen Dialog(JS) machen,und wenn der user Dann auf OK klickt,wird ein AJAX-Request an eine PHP-Datei gesendet,die zb. die Session auf volle 2 H setzt.
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück