[PHP] Sessioni

[Fabiorayden]

Ho delle pagine dove l'utente per accedervi deve inserire user e password.

In una variabile di sessione memorizzo lo user ( $_SESSION['user'] ) e in ogni pagina controllo che sia presente tale variabile.

Fin qui nessun problema.

Il problema è quando l'utente non fa il logout ma chiude il browser... la variabile di sessione rimane memorizzata invece che esser distrutta (non dovrebbe avvenire il contrario?).

Così se si digita l'url di una pagina riservata del sito, non verrà chiesto di fare il login, ma verrà subito visualizzata.

Come si può distruggere la variabile di sessione quano viene chiuso il browser?

Occhio che non basta chiudere la singola pagina protetta ma tutte le eventuali pagine aperte.

Per ovviare potresti far si che all'evento onunload di javascript venga eseguita un'istruzione che distrugge la sessione e fa un unset di tutte le variabili impostate.

Potresti per esempio far aprire un popup in cui viene distrutta la sessione e che al termine dello script chiude se stesso.

Non è elegantissimo ma dovrebbe funzionare, magari ti basta impostare l'apertura del popup in modo che non prenda il focus come finestra e non dovrebbe quindi essere troppo invasivo per l'utente.

[cionci]

Il cookie di sessione è un cookie temporaneo che ha vita solo per una sessione del browser, quindi se si chiude il browser (quindi tutte le pagine del browser) il cookie deve venire eliminato automaticamente...

[Fabiorayden]

Quote:

Originariamente inviato da Sgurbat

Occhio che non basta chiudere la singola pagina protetta ma tutte le eventuali pagine aperte.

Per ovviare potresti far si che all'evento onunload di javascript venga eseguita un'istruzione che distrugge la sessione e fa un unset di tutte le variabili impostate.

Potresti per esempio far aprire un popup in cui viene distrutta la sessione e che al termine dello script chiude se stesso.

Non è elegantissimo ma dovrebbe funzionare, magari ti basta impostare l'apertura del popup in modo che non prenda il focus come finestra e non dovrebbe quindi essere troppo invasivo per l'utente.

Avevo provato l'unload facendo aprire un popup e ho potuto vedere che l'evento si verifica anche passando da una pagina all'altra del sito, mentre non si verifica se viene chiusa solo scheda (quelle di Firefox e IE 7) invece che tutto il browser.

Quote:

Originariamente inviato da cionci

Il cookie di sessione è un cookie temporaneo che ha vita solo per una sessione del browser, quindi se si chiude il browser (quindi tutte le pagine del browser) il cookie deve venire eliminato automaticamente...

Infatti era quello che pensavo io, invece controllando la cartella temporanea il cookie di sessione rimane, non vorrei che sia un problema che si verifica solo con easyPhp (non è stata una scelta mia di usare easyphp).

Non appena potrò verificherò se con un server web apache e php avrò gli stessi problemi.

[ianaz]

Ma non é un problema...
se chiudi il browser deve distruggerti la sessione... probabilmente avevi le schede aperte e hai chiuso solamente la scheda... no?

[Fabiorayden]

Quote:

Originariamente inviato da ianaz

Ma non é un problema...
se chiudi il browser deve distruggerti la sessione... probabilmente avevi le schede aperte e hai chiuso solamente la scheda... no?

Purtroppo no, come dicevo, sia chiudendo la scheda, sia chiudendo il browser, il file temporaneo della sessione rimane.

Edit: come ho acceso il computer e ho digitato l'url di una pagina, al posto di darmi l'errore che non ero loggato, me l'ha aperta lo stesso...

[ianaz]

E non é un problema di codice? Non hai fatto qualche errore?
Hai provato con un altro browser?

[cionci]

Quote:

Originariamente inviato da Fabiorayden

Purtroppo no, come dicevo, sia chiudendo la scheda, sia chiudendo il browser, il file temporaneo della sessione rimane.

Edit: come ho acceso il computer e ho digitato l'url di una pagina, al posto di darmi l'errore che non ero loggato, me l'ha aperta lo stesso...

Ma intendi il file temporaneo del server o quello del browser ?
Quello sul server viene eliminato quando scade la sessione: di default 20 minuti...
Comunque l'id di sessione del browser presente nei coockie deve essere perso se chiudi il browser...al contrario se propaghi l'id di sessione tramite get e copi l'url chiudi il browser, lo riapri e immetti l'url, la sessione continua a funzionare tranquillamente. Questo perché il server, a meno di magheggi Javascript, non sa che te hai chiuso il browser. Il server eliminerà il file di sessione solo dopo tot minuti di inattività su quella sessione...

[Fabiorayden]

Quote:

Originariamente inviato da ianaz

E non é un problema di codice? Non hai fatto qualche errore?
Hai provato con un altro browser?

Al momento ho solo provato con Firefox 2.0 e con IE7.

Eorri di codice non penso che ci siano, se clicco su logout, dove richiamo session_destroy, tutto funziona.
L'unico problema che ho è questo.

[riaw]

se stai usando un browser a schede, devi chiudere il browser, non solo la scheda con la quale stai usando il sito.
se chiudi completamente il browser, il cookie te lo DEVE distruggere.
prova con un altro browser....

[Fabiorayden]

Quote:

Originariamente inviato da cionci

Ma intendi il file temporaneo del server o quello del browser ?
Quello sul server viene eliminato quando scade la sessione: di default 20 minuti...
Comunque l'id di sessione del browser presente nei coockie deve essere perso se chiudi il browser...al contrario se propaghi l'id di sessione tramite get e copi l'url chiudi il browser, lo riapri e immetti l'url, la sessione continua a funzionare tranquillamente. Questo perché il server, a meno di magheggi Javascript, non sa che te hai chiuso il browser. Il server eliminerà il file di sessione solo dopo tot minuti di inattività su quella sessione...

Intendevo il file temporaneo di sessione presente sul server.
Nei file temporanei del browser non è presente nulla della sessione.

Per fare delle prove ho impostato il session.gc_maxlifetime e il session.cookie_lifetime del php.ini a 60 (1 minuto) un tempo molto breve.
L'id della sessione non lo passo tramite GET.

[cionci]

Quote:

Originariamente inviato da Fabiorayden

L'id della sessione non lo passo tramite GET.

E allora è impossibile che rimettendo lo stesso indirizzo nel browser tu possa fare le operazioni degli utenti loggati...
L'id di sessione viene passato al browser tramite cookie...questo cookie è di tipo temporaneo...quindi alla chiusura completa del browser viene rimosso.
Di conseguenza alla riapertura il browser non può passare al server il cookie con l'id di sessione...e quindi il server non ha disposizione la sessione e il controllo sull'esistenza della variabile $_SESSION['user'] non può avere successo...se lo ha i problemi sono altrove...

[cionci]

Quote:

Originariamente inviato da Fabiorayden

Per fare delle prove ho impostato il session.gc_maxlifetime e il session.cookie_lifetime del php.ini a 60 (1 minuto) un tempo molto breve.
L'id della sessione non lo passo tramite GET.

Il problema è questo: "session.cookie_lifetime del php.ini a 60"
Se lo metti così il cookie non è più un cookie temporaneo, ma a tempo e quindi è valido anche alla riapertura del browser...devi metterlo a 0 quel valore...

[Fabiorayden]

Quote:

Originariamente inviato da cionci

Il problema è questo: "session.cookie_lifetime del php.ini a 60"
Se lo metti così il cookie non è più un cookie temporaneo, ma a tempo e quindi è valido anche alla riapertura del browser...devi metterlo a 0 quel valore...

Ho reimpostato tutto com'era prima.
Ho notato che le modifiche al file php.ini non le aveva prese (il file l'avevo salvato... ma controllando tutti i settaggi con phpinfo li ho trovati ai valori di default).

Appena posso proverò su un computer con Apache e php, non vorrei che sia easyphp a darmi problemi.

[riaw]

Quote:

Originariamente inviato da Fabiorayden

Ho reimpostato tutto com'era prima.
Ho notato che le modifiche al file php.ini non le aveva prese (il file l'avevo salvato... ma controllando tutti i settaggi con phpinfo li ho trovati ai valori di default).

devi riavviare apache per le modifiche al php.ini.