SESSION afsluiten na X aantal uren.
Zover lukt alles. Op elke zoekpagina van verschillende onderdelen wordt dat gestart met "session_start();" en als $_SESSION[ingelogd] gelijk is aan Ja kunnen ze verder zoniet gaan ze terug naar de inlogpagina. Dat werkt ook.
Ik zou nu een scriptje willen toevoegen dat hun inlogtijd beperkt tot 4u. Want ik merk dat bij de provider waar ik bij ben een sessie pas verloopt na 24u.
Maar mijn vraag is nu, zet ik dat scriptje enkel op de inlogpagina of moet dat op elke pagina die start met "session_start();" . Dit zou de code zijn, ongeveer die ik daarvoor zou gebruiken. De begintijd zou natuurlijk in een sessievariabele gestoken worden bij het inloggen.Dus $begintijd = time();
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
session_start();
$testwaarde = "SESSION TEST";
$_SESSION['testing'] = $testwaarde;
// 4 uur in seconden
$inaktief = 14400;
$_SESSION['verloopt'] = $begintijd + $inaktief; // static expire
if(time() > $_SESSION['expire'])
{
$_SESSION['testing'] = '';
session_unset();
session_destroy();
$_SESSION['testing'] = 'uw sessie is verlopen na 4u. Log opnieuw in.'; // boodschap
}
echo $_SESSION['testing'];
$testwaarde = "SESSION TEST";
$_SESSION['testing'] = $testwaarde;
// 4 uur in seconden
$inaktief = 14400;
$_SESSION['verloopt'] = $begintijd + $inaktief; // static expire
if(time() > $_SESSION['expire'])
{
$_SESSION['testing'] = '';
session_unset();
session_destroy();
$_SESSION['testing'] = 'uw sessie is verlopen na 4u. Log opnieuw in.'; // boodschap
}
echo $_SESSION['testing'];
Wordt de sessie dan automatisch afgesloten na 4u? Of blijft de sessie draaien zelfs als er bijvoorbeeld 12u geen activiteit is.
Of heeft iemand betere ideeën.
In die functie controleer je dan of
$_SESSION['ingelogd'] == 'Ja'
(ik gebruik liever "1" in plaats van Ja, gezien je dan ook JA, ja of Yes zou kunnen hebben, afhankelijk van je bui.
Anyway:
die $_SESSION['ingelogd'] == 'Ja' wordt dan uitgebreid met
Ik zie geen toegevoegde waarde aan unset, destroy etc.
Het leuke is namelijk dat je dan ook een "bezochte topics" of "gekozen kleur" in je session behoudt, ook als de gebruiker de hele ochtend op je site zit.
Dan logt hij opnieuw in, en heb je je overige settings nog steeds beschikbaar.
Ik controleer nu ook op 2 dingen
Code (php)
1
if ($_SESSION['ingelogd'] == "J" && $_SESSION['status'] == "BA")
Afhankelijk van hun status krijgen ze een andere keuzepagina voorgeschoteld. In het kort: gebruikers kunnen enkel de verschillende tabellen raadplegen. Medewerkers kunnen dit ook maar kunnen bovendien csv files maken van diverse tabellen, tabellen corrigeren (de inhoud ervan) enz.. Bestuursleden kunnen dit ook allemaal maar die kunnen de inloglijsten raadplegen. De status van de geregistreerde leden (bijvoorbeeld einddatum van hun abonnement) aanpassen, gevolgde cursussen, enz., Wie wat gecorrigeerd of aangepast heeft enzoverder. Wat ze opgezocht hebben dat interesseert ons niet. Wij willen wel weten wanneer ze ingelogd zijn en bijkomend dan ook wanneer ze uitgelogd zijn.
We houden tientallen tabellen bij, indexen van rouwbrieven, bidprentjes, parochieregisters, burgerlijke stand telkens met meer dan 100.000 records, het kan oplopen tot een half miljoen. Met bijhorende scans of verwijzing naar scans op her rijksarchief of Familysearch.
Gewijzigd op 17/10/2024 21:45:06 door Ignace Verschaeve
Je kan wel aan de hand van de laatste actieve tijd bijhouden en de huidige tijd of iemand weer actief is. Als er een kort verschil tussen zit van 5 minuten, dan zou ik het niet laten meetellen als een nieuwe inlog.
ik had het idee dat het om de veiligheid gaat.
Het kan inderdaad onwenselijk zijn als anderen toegang hebben tot een pc, dat ze dan op alle sites waar die dag is ingelogd, nog steeds toegang kunnen krijgen.
Maar hoeveel pc's en telefoons is dat het geval.
Het is nu beter, maar ook Phphulp had er een handje van om je na korte tijd weer uit te loggen (of als je ook op een andere pc of device inlogt?)
Dat kan als irritant ervaren worden.
Het is wel prettig dat je niet steeds opnieuw moet inloggen. En het lokt uit dat men dan ook maar het password laat onthouden door de browser. Met als gevolg dat een vreemde gebruiker dan ook zeker kan inloggen op de site.
Het klinkt als een genealogie site?
Is het dan nodig om zo'n maatregel te treffen? Ik zie collega's die in de verzekeringsbranche zitten, vaak na minuten als weer gedwongen met 2FA in te loggen. Daar kan ik inkomen, maar ook daar is het wel erg korte tijd.
---
Het zou ook zo kunnen zijn, dat je de 4 uur telt vanaf de laatste activiteit: dat je niet na een ochtend werk en het typen van een epistel van 3 pagina's dat verloren ziet gaan als je rond het middaguur wilt opslaan en je 4 uren over zijn...