sigo con el tema sesiones

Macro32 · #1 (**permalink**) 10/05/2004, 21:56

hola, tengo las siguientes dudas:

1) si entendi bien cuando el cliente tiene cookies habilitadas, se guarda el SID en la PC Cliente en forma de coolies ,si session.use_cookies=On;

Ahora, haciendo pruebas con mi servidor...no logro encontrar esta especie de cookie con el SID en mi computador...lo busque en archivos temporales...en donde la guarda el navegador?

2) El siguiente problema q tenia era que si bien esta cookie (q nunca la encontre, pero q debia estar por ahi..) tenia tiempo cero segun
session.cookie_lifetime=0;

el SID...se mantenia durante horas (al menos 3) en mi servidor...lo se , ya q lo saque del historial, y el archivo de la sesion aun seguia en el servidor...

Cluster respondio al tema de la duracion

post

"...Ese tiempo lo determina:
session.gc_maxlifetime 1440 1440

Lo que ves ahí son segundos .. Segundos que el SID es válido pese que .. progages el SID en cookies y esta tenga de vida "0" segundos (sea de tipo "sesión"= cierras navegador .. muere cookie)...."

La primera observacion q me sale es: 1440 segundos son 24'...mucho menos q la cantidad real de minutos q a mi me duro esa sesion (aun despues de cerrar la ventana del navegador claro)

Como tengo control sobre esta duracion en el servidor?..existe alguna funcion?...

Eso es todo por ahora.Gracias.

josemi · #2 (**permalink**) 11/05/2004, 01:21

Hola,

1) Cada navegador lo mete donde le da la gana. Consejo: usa Mozilla o Firefox, tienen un menu para gestionar las cookies: listar cuales tienes, eliminar una en concreto, ver sus valores, bloquear las cookies de un dominio, ...

2) Una cosa es cuanto tiempo es valido un SID, y otra cosa es cuando se elimina ese fichero. Borrar los ficheros es una tarea costosa (comprobar si esta para borrar o no), asi que en lugar de cada vez que haces un session_start() borrar los ficheros, con gc_probability (www.php.net/session) se controla la frecuencia de ejecucion de la rutina de eliminacion de ficheros de sesion. Como es una probabilidad, es que cada vez que se ejecute PHP (no se si es necesario session_start()) hay cierta probabilidad de que se ejecute la rutina de eliminacion.

De todas formas, aunque este el fichero, si pasan esos 24' desde el ultimo acceso, la sesion se considera no valida.

Saludos.

Macro32 · #3 (**permalink**) 11/05/2004, 08:30

gracias josemi :)
ahora..como controlo ese gc_probability con codigo...te imaginaras q no puede quedar 24' ese archivo en el servidor..con el severo riesgo de poder usar ese SID(del historial por ej)...seria una falla grosera en la seguridad.
Ademas...ya vez, soy un aprendiz, empeze hace apenas unos dias, y en la primer prueba en mi servidor, ya me di cuenta de esto, simplemente probando un SID q tenia en el historial, y tal como dije (duro mas de 24'...3 horas al menos).

Macro32 · #4 (**permalink**) 11/05/2004, 08:39

me olvidaba...como hago para poner

session.use_trans_sid =OFF en mi servidor?

No deseo q aparesca ese SID (ya se...tendra q tener cookies habilitadas)

josemi · #5 (**permalink**) 11/05/2004, 08:51

Bueno, en la ayuda de la funcion ini_set() (www.php.net/ini_set) tienes la lista de directivas de PHP y los puntos desde donde puedes configurarlas. Algunas solo se pueden modificando el php.ini, otras pueden modificarse con ini_set().

Saludos.

Macro32 · #6 (**permalink**) 11/05/2004, 10:09

ok, gracias josemi...ahora me fijo