Foros del Web » Programando para Internet » PHP »

Gestión de sesiones

Estas en el tema de Gestión de sesiones en el foro de PHP en Foros del Web. Hola a [email protected], Tengo un problema con la gestión de sesiones y no encuentro solución. En mi web, hay una parte de administración en la ...
  #1 (permalink)  
Antiguo 24/07/2003, 05:50
Avatar de xavigu  
Fecha de Ingreso: diciembre-2002
Ubicación: Barcelona (España)
Mensajes: 48
Antigüedad: 15 años
Puntos: 0
Gestión de sesiones

Hola a [email protected],

Tengo un problema con la gestión de sesiones y no encuentro solución.

En mi web, hay una parte de administración en la que solo pueden entrar determinados usuarios mediante solicitud de log-in y pasword, etc..

El método que utilizo en la sesión es propagar la variable se sesión por todas las URL y formularios para poder acceder todo y no tener las cookies activas y también guardo los datos del usuario en diferentes variables de sesión para poder acceder a ellas en cualquier momento. En este sentido todo funciona correctamente pero he encontrado un error muy peligroso y no se cómo rectificarlo.

Si se cierra el navegador sin pasar por el script que destruye la session "session_destroy();" y introduzco una URL tal que la siguiente


midominio.com/admin/modules.php?mod=modulo&PHPSESSID=variableSesion

Puedo acceder sin ningún problema. Con esto, simplemente accediendo al historial del navegador, puedo entrar en la zona de administración sin autenticarme.
Este error me está dando muchos quebraderos de cabeza y no encuentro solución.

Muchas gracias por la ayuda,

Xavi Garcia
__________________
.
  #2 (permalink)  
Antiguo 24/07/2003, 07:21
Avatar de DINASEN  
Fecha de Ingreso: marzo-2003
Mensajes: 997
Antigüedad: 14 años, 9 meses
Puntos: 1
mira te dejo aqui un enalce a un post de este mismo foro con esa pregunta hace un par de dias

Enlace


Un Saludo
  #3 (permalink)  
Antiguo 25/07/2003, 05:17
Avatar de xavigu  
Fecha de Ingreso: diciembre-2002
Ubicación: Barcelona (España)
Mensajes: 48
Antigüedad: 15 años
Puntos: 0
Creo que ha habido algun error por mi parte al explicarme.

Preguntaba si alguien tiene alguna manera de, al cerrar la ventana o el navegador, dar de baja la sesión que tengo iniciada. Hacía esta pregunta porque, al no pasar por el script que destruye la sesión esta permanece abierta durante un tiempo y el usuario puede volver a acceder a la administración sin accer log-in. Me gustaría tener más controlado este aspecto de la administración.

Muchas gracias a todos,

Xavi Garcia
__________________
.
  #4 (permalink)  
Antiguo 25/07/2003, 06:22
Avatar de DINASEN  
Fecha de Ingreso: marzo-2003
Mensajes: 997
Antigüedad: 14 años, 9 meses
Puntos: 1
mira en este post

Enlace

Un Saludo
  #5 (permalink)  
Antiguo 25/07/2003, 23:58
O_O
 
Fecha de Ingreso: enero-2002
Ubicación: Santiago - Chile
Mensajes: 34.417
Antigüedad: 15 años, 11 meses
Puntos: 126
Creo que el "enlace" que debes leer es el del manual oficial de PHP:

www.php.net

En el capítulo de sesiones. Ahí veras algunas directivas como:

session.gc_maxlifetime
session.cache_expire

(entre otras) .. que determinan el tiempo que es válido tu SID (identificador único de sesión que tienes en tus "favoritos" o historial en los links de tu sitio ..)

También veras alternativas como usar:

session.use_cookies

para evitar propagar el SID en el URL viajando este en una cookie (con sus pro y contras que tiene esto ..)

Un saludo,

pd: Si usas el buscador del foro .. verás algunos comentarios más por mi parte al respecto (pues várias veces lo he comentado por aquí) ..
__________________
Por motivos personales ya no puedo estar con Uds. Fue grato haber compartido todos estos años. Igualmente los seguiré leyendo.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 15:22.