Wie kann man den Ablauf einer PHP-Sitzung nach 30 Minuten zuverlässig verwalten?

So verwalten Sie den Ablauf einer PHP-Sitzung nach 30 Minuten

Die Notwendigkeit, eine Sitzung für eine bestimmte Zeit am Leben zu erhalten und sie dann zu beenden ist in der Webentwicklung üblich. PHP bietet Optionen zum Festlegen von Sitzungszeitüberschreitungen, diese liefern jedoch möglicherweise nicht immer zuverlässige Ergebnisse. Lassen Sie uns die Mängel bestehender PHP-Mechanismen verstehen und eine zuverlässige Lösung erkunden.

Zuverlässigkeitsprobleme der integrierten Timeout-Optionen von PHP

PHP bietet zwei Optionen zum Festlegen der Sitzung timeouts:

1. session.gc_maxlifetime: Steuert die Anzahl der Sekunden, nach denen PHP Sitzungsdaten als „Müll“ betrachtet und die Bereinigung einleitet. Diese Option ist jedoch nicht zuverlässig, da der Garbage-Collection-Prozess von einer zufälligen Wahrscheinlichkeit abhängt, die durch session.gc_probability und session.gc_divisor bestimmt wird.
2. session.cookie_lifetime: Gibt die Lebensdauer des gesendeten Cookies an zum Browser. Diese Option wirkt sich jedoch lediglich auf die Dauer des Cookies aus und macht die Sitzung selbst nicht ungültig.

Implementieren eines benutzerdefinierten Sitzungs-Timeout-Mechanismus

Um eine zuverlässige einzurichten Sitzungszeitüberschreitung, implementieren Sie Ihre eigene Lösung. Dies kann durch die Pflege eines Zeitstempels erreicht werden, der die letzte Benutzeraktivität darstellt.

if (isset($_SESSION['LAST_ACTIVITY']) && (time() - $_SESSION['LAST_ACTIVITY'] > 1800)) {
    // Last request was more than 30 minutes ago
    session_unset(); // Unset $_SESSION variable
    session_destroy(); // Destroy session data in storage
}
$_SESSION['LAST_ACTIVITY'] = time(); // Update last activity timestamp

1. Überprüfen Sie, ob in der Sitzung ein „LAST_ACTIVITY“-Schlüssel vorhanden ist, und überprüfen Sie, ob seit der letzten Aktivität 30 Minuten vergangen sind.
2. Wenn die Sitzung länger als 30 Minuten inaktiv war, deaktivieren Sie alle Sitzungsvariablen mit session_unset() und zerstören Sie die Sitzung mit session_destroy().
3. Aktualisieren Sie regelmäßig den Zeitstempel „LAST_ACTIVITY“ bei jeder Anfrage, um die Sitzung während der aktiven Nutzung am Leben zu halten.

Da die Aktualisierung der Sitzungsdaten bei jeder Anfrage das Änderungsdatum der Sitzungsdatei ändert , wird der Garbage Collector die Sitzung nicht vorzeitig entfernen.

Für zusätzliche Sicherheit sollten Sie die Sitzungs-ID regelmäßig neu generieren Reduzieren Sie Session-Hijacking-Versuche:

if (!isset($_SESSION['CREATED'])) {
    $_SESSION['CREATED'] = time();
} else if (time() - $_SESSION['CREATED'] > 1800) {
    // Session started more than 30 minutes ago
    session_regenerate_id(true); // Change session ID and invalidate old one
    $_SESSION['CREATED'] = time(); // Update creation time
}

Zusätzliche Hinweise

1. Stellen Sie sicher, dass session.gc_maxlifetime auf einen Wert gesetzt ist, der größer oder gleich dem benutzerdefinierten Wert ist Dauer des Ablaufhandlers (in diesem Beispiel 1800).
2. Wenn Sie ablaufen möchten Um die Sitzung basierend auf 30 Minuten Aktivität zu beenden, legen Sie mit setcookie(..., time() 60*30) einen Cookie-Ablauf fest, um das Sitzungscookie aktiv zu halten.

Das obige ist der detaillierte Inhalt vonWie kann man den Ablauf einer PHP-Sitzung nach 30 Minuten zuverlässig verwalten?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!