Как правильно работать с сессиями php, установка настроек и т.д?

Question

[banny_name]

Как правильно установить время жизни сессии?

1. session_set_cookie_params(1080,[etc]);
или
2. ini_set('session.gc_maxlifetime', 10800);

?

Ещё, как запретить доступ к сессиям?
Я храню сессии в директории сайта, как запретить доступ к ним?
Чтобы никто/ничто, кроме приложения не мог прочесть их и т.д
и как обезопасить работу с сессиями?
Есть шанс подмена идинтефикатора сессии и т.д

Answer 1

[riente]

Есть вариант прописать это в php.ini:
session.gc_maxlifetime = 7200

Я храню сессии в директории сайта, как запретить доступ к ним?

Храните в директории, к которой нет доступа извне.

Есть шанс подмена идинтефикатора сессии и т.д

В этом случае можно усложнять систему защиты, например, к идентификатору привязывать недавний ip и user agent, и если они резко изменились, просить залогиниться заново, и т.п. На что фантазии хватит.

Comments

[banny_name]

нет доступа к php.ini

[riente]

banny_name: shared hosting?

[banny_name]

riente: Как правильно установить, если доступа нет к php.ini ?

или именно установить в php.ini - это наиболее правильный вариант ?

[riente]

еще можно например в .htaccess прописать, можно наверное и так ini_set('session.gc_maxlifetime', 10800); но я не проверял, как сработает. Я написал про php.ini, т.к. для меня это сработало. Файл php.ini кинул в корень сайта на шареде, кстати.