Múltiples sesiones

Holas!

Comienzo por decir que sé que tal vez este tema debiera ir en el foro de Apache, pero como uso las sesiones de PHP pensé que sería mejor aquí. En cuanto al tema en sí, les ruego disculpen mi ignorancia, aquí les cuento mis dudas...

Resulta que tengo varios sistemas hechos por mí en mi sitio web (aka, todos en el mismo host), varios que requieren loggeo para entrar a ciertas áreas, como administración o foro. Para todo esto uso las sesiones de PHP, las cuales me funcionan muy bien.

El problema ocurrió cuando yo me loggeaba por ejemplo en el foro, que tiene su propia base de datos y todo, y luego cuando cargaba otro de mis sistemas, ya me encontraba loggeada pese a que no me había identificado como usuario.

Esto no era problema pues se trataba de mí tan solo, hasta que por casualidad uno de los usuarios de mi foro tuvo acceso a uno de mis sistemas de administración de esta misma forma. Este usuario es de mi entera confianza, pero este hecho me dejó entrever la inseguridad de mis sistemas.

Entonces pensé "¿no se puede hacer que cada sistema tenga su propia sesión PHP?". Y por lo que comprobé pues no, no se puede. O sea, es una session_id por equipo, por pc de cliente, y no por sistema en el servidor.

La manera en que temporalmente he salvado esta fuga es agregando una variable en el arreglo de $_SESSION que identifica al sistema en el que actualmente se está loggeado. Así, el php pregunta si el usuario y el sistema son los correctos (antes preguntaba sólo si estaba loggeado, por ello permitía que entrara en cualquiera de los sistemas). Pero siguen existiendo problemas, pues, tanto con esta como con la antigua validación, al cerrar la sesión de usuario en un sistema, las cierra en todos los otros también. Lógico, pues es una sola sesión al final.

Por ello aun siento que los cambios que he hecho no son suficientes, y me gustaría saber si ustedes saben más sobre este tema. Tal vez sólo si me confirman que en un mismo servidor sólo puede haber una sesión me quedaré tranquila y veré cómo ingeniármelas, si es que ustedes, claro, no conocen ya alguna buena solución a esto. Pero por el momento estoy en la duda y en la documentación existente no he encontrado mayores referencias a este detalle de las sesiones en el servidor.

Muchas gracias de antemano!
Saludos!

Buenas.

Yo solo te recomendaría no mezclar sistemas de usuarios y sistemas de administración. Te puedes llevar un disgusto cualquier día, y, en tu caso, menos mal que era alguien de confianza, que si no te hace un apaño.

Otra cosa que pudieras hacer, es no usar las mismas variables de sesión en los sistemas, así no tienes problemas de ese tipo.

Respecto a tu pregunta, la verdad es que nunca me lo he planteado, así que no sabría decirte.

Gracias, Bonez.

Pues no es que mezcle los sistemas, es la cosa esta de que hay una sola sesión por hosting lo que hace vulnerable mis sistemas :S...

Sobre usar distintos nombres de variable para las sesiones lo pensé igual. De hecho hice algo como esto:

Antes
Probando:
Allí me topo con el problema de siempre, porque el session_destroy() asumo que destruye la sesión completa, o sea, no distingue sistemas... ¿Es así realmente? ¿Qué opinas tú? ¿Puedo indicarle qué variables del array $_SESSION quiero destruir? Al menos yo no encontré esto en la documentación de PHP :( ¿O basta con vaciar las variables específicas para que quede seguro? Yo pienso que no :(

Puedes usar en lugar de session_destroy(), unset.

Asi solo borras una parte de la sesion y no toda.

Saludos.

Gracias, GatorV.

Entonces tú crees que eliminando sólo las variables queda seguro, sin preocuparse que la sesión como tal siga abierta?..... Mmh... En todo caso por ahí me dijeron que la sesión PHP tras un rato de inactiva se destruye sola, es así, cierto? Porque si así fuera no sería malo eso de sólo borrar las variables .__.

Asi es despues de un tiempo de inactividad la session se marca como "basura" y se elimina del servidor.

Eliminando las variables es solo un paso, tienes que hacer bien la auditoria a tus sistemas de lo que estas trabajando para saber que no hay "agujeros" donde aunque no este la session como tal abierta puedan entrar.

Saludos.

Uhm... gracias entonces, GatorV :)
Esto me hizo recordar precisamente que hace unas semanas un tipo hackeó mis sitios personales, de puro mala onda :( (mis sitios no son muy visitados, a lo mucho 2 visitas diarias, entre ellas la mía, jajaja xD, por eso no entendí por qué a ese tipo le dio conmigo ¬¬...).

Ahora, por que no defines cada session? ej:

Así, si bien ambas sessions se llaman $_SESSION["sistema"] pertenecen a lugares diferentes y tienen valores diferentes, depende de que definas como session_name al momento de la llamada. También podrías agregar un session_save_path('undir/otrodirparasessiones'), aunque con el session_name ya te sobra.

Oh... no conocía el uso de session_name() O_o
Muchas gracias por el dato, nicolaspar! Lo intentaré probar ^_^Gracias!