Session Timeout

04/12/2015 - 16:19 von Jörg Burzeja | Report spam
Hallo Experten,

PHP 5.4 Anwendung mit MSSQL Datenbank Verbindung.

Benutzer-Anmeldung an der Anwendung in lokaler Entwicklungsumgebung -
kein Session-Timeout

Benutzer-Anmeldung an der Anwendung in Firma A auf dem PHP-Server - kein
Session-Timeout

Benutzer-Anmeldung an der Anwendung von einem lokalen PC in Firma A -
kein Session-Timeout

Benutzer-Anmeldung an der Anwendung von einem lokalen PC in Firma B -
Anmeldung erfolgreich, aber nach kurzer Zeit (zwischen 5 und 10
Sekunden) regelmàßig Session-Timeout - mit gleicher IE-Version 11, mit
FireFox, über Citrix mit FireFox

Google und Stichworte Session & Timeout bringt zu viele und nicht
relevante Treffer.

Wie kann der Fehler geprüft werden bzw. was kommt als Ursache in Betracht?

Danke.
 

Lesen sie die antworten

#1 Thomas PointedEars Lahn
04/12/2015 - 17:07 | Warnen spam
Jörg Burzeja wrote:

PHP 5.4 Anwendung mit MSSQL Datenbank Verbindung.



Da musst du schon pràziser sein. Welche PHP 5.4-Version und welche
Datenbank-Erweiterung für den Zugriff auf die MS-SQL-Datenbank wird
verwendet?

Benutzer-Anmeldung an der Anwendung in lokaler Entwicklungsumgebung -
kein Session-Timeout

Benutzer-Anmeldung an der Anwendung in Firma A auf dem PHP-Server - kein
Session-Timeout



Was heisst „Benutzer-Anmeldung … auf dem PHP-Server“? Benutzer sollten
nicht direkt auf den Server zugreifen dürfen.

Benutzer-Anmeldung an der Anwendung von einem lokalen PC in Firma A -
kein Session-Timeout



Wie unterscheidet sich dieser Fall vom vorherigen?

Benutzer-Anmeldung an der Anwendung von einem lokalen PC in Firma B -
Anmeldung erfolgreich, aber nach kurzer Zeit (zwischen 5 und 10
Sekunden) regelmàßig Session-Timeout - mit gleicher IE-Version 11, mit
FireFox, über Citrix mit FireFox
[…]



Wie àussert sich der Session-Timeout?

Wie kann der Fehler geprüft werden bzw. was kommt als Ursache in Betracht?



PHP-Sessions laufen ab, wenn

- es zu einer Session-ID keine Session-Information mehr auf dem Server gibt;

- die Session-ID normalerweise im URL enthalten ist (nicht empfohlen), aber
dann fe lt;

- das Protokoll, die Domain oder Pfad des Requests nicht mehr dem
entsprechen, was bei der Erstellung des PHP-Session-Cookie angegeben
wurde (in diesem Fall ist die Session nicht tatsàchlich abgelaufen,
sondern nur die aktiv, weil der Client das PHP-Session-Cookie nicht
an den Server übermittelt);

- das PHP-Session-Cookie auf dem Client gelöscht oder die darin gespeicherte
ID geàndert wird; dies làsst sich in den gàngigen Einstellungsdialogen
sowie in der Script-Konsole von grafischen Web-Browsern, und mit lokalen
Netzwerk-Sniffern wie Fiddler und Wireshark überprüfen.

Die unbefugte Löschung oder Änderung des PHP-Session-Cookie im Browser
zum Beispiel durch auf dem Client unbemerkt installierte Schadsoftware
làsst sich verhindern, indem man auf dem Server die PHP-Einstellung
“session.cookie_httponly” auf “true” setzt (empfohlen).

<http://php.net/manual/en/book.session.php>

PointedEars
Zend Certified PHP Engineer
Twitter: @PointedEars2
Please do not cc me. / Bitte keine Kopien per E-Mail.$

Ähnliche fragen