Expiración de Sesiones

Hola, estoy propagando las variables de una sesion a traves de un formulario que esta dividido en 5 paginas y el problema que tengo es que no se como darle un tiempo de vida a la sesion.

Si antes de llegar al final del formulario se abandona la pagina y se regresa a ella tres horas mas tarde la sesion sigue activa, como lo puedo solucionar?

En el manual de PHP he visto session_cache_limiter y session_cache_expire pero no lo termino de tener muy claro.

Ejemplo:

llamo esta url sesion.php?x=HOLA

sesion.php contiene:

y en sesionesII.php hay esto:
Pero por mas que racargo y recargo sesionesII.php jamas me imprime "Vacia" siempre me dice "HOLA".



Alguien puede indicarme como le doy un tiempo de vida a mi sesion?

Muchas gracias!

El tiempo de vida de sesion comienza a contar desde que ya no se accede a la cookie. Revisa el archivo php.ini, puedes modificar este valor, esta dado en segundos

session.gc_maxlifetime = 1440

y este dado en minutos:

session.cache_expire = 180

Gracias claudiovega, pero no tengo acceso al php.ini, como lo puedo hacer entonces?

No puedo declarar el valor del expire en mis paginas?

Lei en la documentacion que session_cache_expire() debe usarse antes de session_start()

http://cl.php.net/manual/en/function...che-expire.php

The cache expire is reset to the default value of 180 stored in session.cache_limiter at request startup time. Thus, you need to call session_cache_expire() for every request (and before session_start() is called).

Nada, aunque lo use antes de session_start() tampoco pierde los valores de la sesion!!!

Se supone que si en la pagina A abro una sesion y declaro que $_SESSION['x'] = "HOLA" y en la pagina B escribo algo asi:

Pasado un minuto deberia imprimir "nada", no?

Heeeelp

Muchach@s, ninguna otra idea?

Nadie me puede guiar un poco con esto por favor?

Saludos

Pero .. a todo esto .. como propagas el SID?

El SID lo puedes propagar por el URL o por cookies.

En cuanto a tiempos de expiración es la directiva: session.gc_maxlifetime la que define en última instancia la validez de un SID creado (Identificador único de sesión). Ahora .. el SID como te he comentado se puede propagar por cookies o por el URL .. Si lo haces por cookies (lo más seguro y lo que "asumes" en tu código pues no se vé que lo hagas tu a mano en el código ...). Si propagas el SID en cookies, .. la cookie también tiene un tiempo de expiración que define "cuanto tiempo está en ese cliente el SID" .. si lo usas a "0" .. durará lo que el cliente tenga abiertas tus páginas de tu sitio .. si usas otros tiempos .. durante ese tiempo ( y siempre que sea menor que el que define gc_max....) podrás tomar denuevo tu SID válido y seguir usandolo.

El trabajo con seseiones se suele configurarar si propagas el SID en cookies con una vida de la cookie de "0" (segundos) .. es decir .. una cookie tipo "de sesión" .. al cerrar todas las ventanas de tu sitio el SID se pierde en el cliente que la creó y con ello en "enlace" con el servidor. Pese que el SID siga siendo válido en el "servidor" .. "nadie" conoce (el cliente que la creó) que ID tiene. Puedes combinar esto con un tiempo menor de session.gc_maxtimelife .. y será esta la propiedad que debes controlar si propagas el SID enteramente por el URL.

Algunas directivas de PHP en general se pueden modificar en tiempo de ejecución vía la función:

ini_set()

ejemplo:

ini_set("session.xxxxxx","valor");

(siempre antes de los session_Start() y otras funciones de PHP para sesiones).

Un saludo,

Ok, ahora voy a estudiar todo esto, pero con lo que me comentas me surgen algunas dudas Cluster:

En mi formulario en ningun momento estoy propagando un SID, en cada pagina del formulario voy recogiendo unas variables que voy guardando en la sesion y que al final recojo en un archivo.txt final, despues vacio y destruyo la sesion, no lo creia necesario al no ser una zona de "cliente" digamos.

Entonces, me dices que para que las funciones session_cache_expire() y _limiter() tengan efecto sobre la session es imprescindible declarar el SID pues es a el a quien se refieren y no a la session en si?

O sea primero se debe nombrar la sesion, declarar el SID y entonces puedo manejar los tiempos de vida y eso siempre declarando una cookie?

Es muy importante para mi tener esto claro antes de ponerme a modificar lo que ya tengo funcionando.

Cuando hacemos:
Tanto en el lado del cliente (navegador) como en el del servidor(direcotorio por defecto .tmp/ de la configuracion de PHP, etc) se genera automaticamente una cookie por defecto y que contiene por ejemplo:

Name: PHPSESSID
Content: g3c91jc5aqabq9ffa3h2rbvd66
Host: 127.0.0.1 (porque chequeo en local)
Path: /
Sendo For: Any type of connection
Expires: at end of session

Con esto intuyo que se ha creado un SID. Si borro esas cookies, asigna otro SID completamente distinto, si abro otro navegador tambien crea uno nuevo, con esto entiendo que cualquiera que abra la pagina por primera vez se asignara un nuevo SID (Identificador de Session) y que el tiempo de vida es el que indique la session, si no se indica nada por defecto toma el valor por defecto.

Cuando en la pagina A escribo esto:
Y en la pagina B estoy leyendolo asi:
Como se han propagado tanto ese SID por defecto y ['x], por la cookie?
O sea que podriamos decir que por defecto PHP propaga esa info por cookie(de la forma segura?), asi que hasta aqui no hay un problema de seguridad, no?
Seria incluso asi recomendable, hasta en una zona no especifica para clientes, declarar manualmente un SID?

En todo caso y para terminar se podria decir?

1. Para determinar el tiempo de vida de una sesion mediante session_cache_expire es imprescindible dar un nombre a la session y nombrar un SID.

2. Si no se cumple 1, hay que usar ini_set("session.cache_expire","valor"); para redefinir el valor por defecto para el tiempo de vida de las sesiones.

No habiendo en nigun caso un problema de seguridad añadido?


Bueno, gracias de verdad y a ver que sacamos de todo esto en claro!!

Saludos

Ya lo estás haciendo aunque no sepas ni que es el concepto de "SID" (Identificador único de sesión) ..

No .. las funciones session_caché_expire() se refiere a laduración de la página en la caché de tu navegador (cliente) .. nada que ver con tiempos de expiración de la sesión .. y el session_cache_limiter() define si se hará o no caché o de que tipo para tus páginas donde uses sesiones (session_start()) ..

No, todo eso ya lo hace PHP bajo el estado de las directivas de tu php.ini (lo puedes ver en tu caso haciendo un phpinfo() a tu servidor y viendo el valor de las session.xxxx directivas) .. entre ellas: session.gc_xxxx .. session.use_cookies .. etc.

más info: www.php.net/sesssion

En las FAQ's de este foro y en la documentación oficial de PHP tienes la teoría de como funcionan las sesiones, que es el SID y lo que implica .. también el "por qué" es inspresindible que ese "SID" sea propagado entre tus scripts de tu aplicación .. ya sea por el URL (automáticamente por parte de pHP o manualmente) o bien en cookies.

En tu caso si .. pero esto no se produce por "arte de magia" .. debes revisar haciendo a tu servidor un phpinfo() que valor tienen las directivas de sesiones que definen el método de propagación del SID

No, .. ya te comenté que no tiene nada que ver esa función (lo que hace) con lo que pretendes hacer. La directiva que principalmente controla el tiempo de expiración de una sesión ya te comenté en el anterior mensaje cual era y que se dá valor (si es que no tienes restringido hacerlo) vía la función ini_set()

Te hacía el comentario que esa función sólo cambiar el valor por defecto de tal directiva que ahí indiques para el tiempo de ejecución del script .. (y que esa directiva en cuestión no es la que debes alterar su valor).

Por lo demás .. las sesiones no se suelen definir tiempos de expiración mas allá de lo que dura tu usuario en tu sitio navegando páginas definindo la propagación del SID en cookies con tiempo de expiración 0 para la cookie (lo cual hace de la cookie tipo "sesion") y muere al cerrar la última ventana de tu sitio abierta. Todo esto en conjunto con session.gc_maxlifetime que es la que en última instancia la que manda sobre la validez del SID en curso.


Un saludo,

Muchas gracias Cluster, ahora lo tengo del todo claro, creo que esto era basico:

Por otro lado si que tenia claro el concepto de (Identificador único de sesión) y me mire el estado de PHP tambien.

En todo caso, te estoy sumamente agradecido pues todas tus explicaciones han despejado definitivamente mis dudas en cuanto a sessions se refiere, o como minimo en la teoria.

Longitudinales agradecimientos!