Tach!

Event. werde ich nach 29 Minuten eine Meldung anzeigen 'Sie werden nach 59, 58, 57... Sekunden automatisch abgemeldet' und wenn vom User keine Aktion folgt die Abmeldung nach 30 Minuten durchführen.

Das allein nützt dem Anwender noch nicht allzu sehr. Wenn er clever ist, öffnet er ein zweites Tab mit derselben Session, dann ist der Timer zurückgesetzt. Die erste Seite zählt zwar weiterhin fröhlich nach unten, aber seit dem zweiten Tab lügt sie.

Die meisten werden jedoch nicht den technischen Hintergrund haben, um auf solch eine Idee zu kommen. Denen könntest du mit einem Ajax-Aufruf-Link/Button/wasauchimmer einen Verlängerungsmechanismus anbieten - wenn es denn auf eine client-basierte Lösung hinauslaufen soll.

dedlfix.

Ein ständiges Ajax-Polling oder Websockets für diesen Fall zu unterhalten, wäre mir zu viel des Guten.

Danke! Dann war mein Denkansatz vielleicht gar nicht so schlecht. Event. werde ich nach 29 Minuten eine Meldung anzeigen 'Sie werden nach 59, 58, 57... Sekunden automatisch abgemeldet' und wenn vom User keine Aktion folgt die Abmeldung nach 30 Minuten durchführen.

Eine oder zwei Minuten vor Ablauf der Frist (man denke an die Leute im Land, die sich vielleicht dazu per Modem oder ISDN einwählen müssen) von der Formularseite aus im Hintergrund mittels eines XMLHttpRequests die Session zu verlängern wäre mir nicht "zu viel des Guten". Ich glaube, die dadurch bewirkte Traffiksteigerung geht im statistischen Grundrauschen unter.

Dabei ließe sich ggf. auch ein anderes zeitliches Limit realisieren. Man könnte je nach Gustus client- server- oder sogar beidseitig prüfen, ob seit der letzten Verlängerung überhaupt eine Veränderung (Eingabe) erfolgte und nur in diesem Fall verlängern. Clientseitig sollte hier genügen. Das wieder in dem die eingetragenen Daten zu einem String aneinander gekettet werden und daraus clientseitig(!) sogar ein Hash (md5) gebildet wird, der mit dem vorherigen verglichen wird. Dann muss man sich nicht vorhalten lassen, ungefragt unabgesendete Daten zu speichern - was datenschutzrechlich durchaus bedenklich wäre. Zudem wird das bei großen Formularen Traffik und Speicher sparen.

Jörg Reinholz

Hallo,

Problematisch ist, dass sich kaum wer richtig abmeldet. Habe hier eine etwas schwierige Benutzergruppe ;-)

Da hab ich deine Problematik auch nicht ganz richtig verstanden gehabt. Neuer Vorschlag.

Viele Grüße
Siri

Hallo,

Warum erhöhst du nicht den Session-Timeout, wenn ein Benutzer auf die Formularseite geht? Und nach dem Absenden setzt du sie wieder herunter.

Das geht nicht so einfach, wie du vermutlich denkst

Scheint so... Bin mal vom Java-Session-Handling ausgegangen, das scheint bei PHP anders und aufwändiger.

Spricht irgendwas gegen einen iFrame mit 0px x 0px in dem sich eine Seite alle 60 Sekunden refresht? Dann kann das Telefonat dauern wie es will, solange die Formularseite geöffnet ist.

Viele Grüße
Siri

Moin,

interessanter Ansatz.

Ja :)

Kannst Du mir erklären (wiel ich genau dasselbe Problem wie der TO habe), wie Du das per Ajax vor Formularversand prüfen würdest?

Ich habe auf die Schnelle mal ein kleines Beispiel gebaut (mit Quelltext)... Bei mir (im Chrome) hat es gerade funktioniert, aber vielleicht ist es auch buggy (es ist Freitag und gleich Feierabend).

Hinweis: Das Skript gibt momentan zufällig entweder true oder false zurück. Diese Prüfung müsste natürlich so aussehen, dass man beispielsweise in der Session-Variable auf ein Login-Flag prüft oder auf den Usernamen != "" oder weiß der Geier^^

Weiteres am Dienstag, ich wünsche allen erholsame Pfingsten.

Grüße Marco

wo speicherst du das Geheimnis, dass du in den Cookie reinschreibst?

What? Klingt ja fast so als ob da deine Kreditkartennummer drin steht :D.
Es muss etwas sein, dass den User eindeutig identifiziert. Sagen wir mal seine User id. Was sagst du, dann könnte sich jeder als dieser USer tarnen, wenn er das Cookie fälscht? Richtig, also muss noch irgendetwas einmaliges in das Cookie. Etwas das man nicht erraten könnte und das sich am besten noch ständig ändert. Wie wärs mit der Angabe des "last Login". Die Info speichert man in der Userdatenbank.

Plus dem Problem, dass man für die Daten dann wieder ein komplett eigenes Sessionhandling-Konzept bauen muss; ich vermute zumindest, dass der Cookie nicht ewig gültig sein soll.

Wieso nicht ewig? Mir drängt sich die Frage von Dedlfix auf "wie lange darf der User Telefonieren?". Wenn er seinen Computer einen Monat durchlaufen lässt und dann erst das Formular abschicken möchte...soll er doch.

Ein eigenes Sessionhandling? Das Problem verstehe ich nicht.

ich möchte hier keinen kompletten Code entwerfen nur im groben:

if( $_POST ) //--- Post daten prüfen  
if( send ) //--- Prüfen ob Formular gesendet wurde  
if( formular.valide() ) //--- PRüfen ob Formulardaten valide sind  
if( !$_SESSION['login'] == true )  
{  
    if( !$_COOKIE['userid'] )  
    {  
        //--- böser Hacker!  
        return false  
    }  
    $objUser = mysql_connect( "get user mit $_COOKIE['userid']" );  
    if(!$objUser->getLastLogin() == $_COOKIE['hash'] )  
    {  
        //--- böser Hacker!  
        return false;  
    }  
    login( $objUser );  
    save();  
} else {  
   save();  
}  

Sieht doch recht simple aus... verdammt wieso hab ich meinen Login nicht so simpel aufgebaut. Das scheiß ding läuft mit 4 Klassen die alle das gleiche machen hmpf...

Gruß
mit viel Code etwas kompensiernder
T-Rex

Tach,

Das ist aber gar nicht einfach, wenn Du eine Seite mit 50 verschiedenen Formularen hast, die jeweils unterschiedliche Formularfelder haben.

Oder möchtest Du damit sagen, es gibt eine automatisierte Routine, die dann´auf alle Formulare anwendbar ist.

speichere $_GET, $_POST und $_SERVER['PHP_SELF'] in der Session und prüfe am Anfang der Formulare, ob da was drin steht, um es dann an die passenden Funktionen zu übergeben.

mfg
Woodfighter