Verlopen sessie tijd

Ik heb toch maar even een uitgebreid logscriptje ertussen gezet, de sessie bleef soms namelijk langer bestaan dan 2 minuten.

Nu blijkt dat soms het ip adres van de server wisselt en dan de sessie wijzigt / verdwijnt. Ze gaan ermee aan de slag nu om het op te lossen.

Ik heb met Javascript (Ajax) iets gebouwd dat om de zoveel tijd even een session-var random veranderd.
Blijft de session gewoon bestaan.

Zo'n oplossing heb ik ook een keer gebouwd SanThe. Mijn probleem was dat eindgebruikers een langere sessie-tijd wilden dan dat in te stellen viel.
Maar het bouwen van een eigen sessie-handler zoals Ward voorstelt valt niet mee, het kost een hoop tijd voordat alle valkuilen zijn gedicht, zelfs als je het codevoorbeeld uit een boek haalt.
Afhankelijk van hoe gehecht je bent aan de hoster, kan je besluiten om over te stappen of een alternatieve handler te bouwen.
Overigens is het wel zo dat je gegevens niet veilig kunt stellen bij een shared host met de standaard-sessie handler van PHP. Het is algemeen bekend dat gevoelige data in een verzamelplek als /tmp terecht komt waar derden kunnen lezen en schrijven. Blijf je bij een shared host, gebruik dan een alternatieve sessie handler.

Wat je ook zou kunnen doen is

Thomas van den Heuvel op 06/04/2016 14:21:00

Dus, in plaats van het zoeken naar oplossingen om dingen onbeperkt in stand te houden, zou je ook kunnen kijken naar oplossingen waarbij het verlopen van zaken niet langer voor problemen zorgt.

An tje op 18/04/2016 22:09:01

Overigens is het wel zo dat je gegevens niet veilig kunt stellen bij een shared host met de standaard-sessie handler van PHP. Het is algemeen bekend dat gevoelige data in een verzamelplek als /tmp terecht komt waar derden kunnen lezen en schrijven. Blijf je bij een shared host, gebruik dan een alternatieve sessie handler.

session_save_path()?

Met session_save_path() wordt het probleem verplaatst naar een andere locatie. Als de shared host het toelaat zou je het save path kunnen instellen naar een afgeschermd deel. Dan ben je snel klaar.
Al vind ik wel dat je je bij persoonlijke gegevens altijd moet af blijven vragen welke derde partij er nog meer bij kan, want die is er bijna altijd. Bijvorbeeld de hostingpartij kan bij bestanden. Dus is het afgeschermde deel versleuteld voor de hostingpartij? En waar blijven backups, misschien ergens 'in de cloud'?
Meestal is dit het deel waarover niemand zich zorgen wil maken.
Mijn persoonlijke voorkeur is om sessie-informatie op te slaan in een database via een eigen handler, omdat je dan meer kunt vastleggen, zelf extra rechten in kunt stellen en alle data bij elkaar hebt.