2

使用带有插件 login-password-less.php 的 adminer-4.7.7 我找到了一种无需输入凭据即可进入管理员的方法。但是进入管理员我想尽可能保持当前会话(包括当前数据库和打开的表),即使在第二天浏览关闭/打开之后......有管理员会话时间参数/工具吗?这适用于我的家用笔记本电脑(kununtu18、apache 2、php 7.4),因此忽略了安全中断...... apache 配置决策也是可能的。

我该怎么做 ?

修改: 我尝试像 Jasar Orion 代码一样增加 gc_maxlifetime,但失败了

我将 adminer/include/bootstrap.inc.php 中的会话块修改为:

global $adminer, $connection, $driver, $drivers, $edit_functions, $enum_length, $error, $functions, $grouping, $HTTPS, $inout, $jush, $LANG, $langs, $on_actions, $permanent, $structured_types, $has_token, $token, $translations, $types, $unsigned, $VERSION; // allows including Adminer inside a function

if (!$_SERVER["REQUEST_URI"]) { // IIS 5 compatibility
   $_SERVER["REQUEST_URI"] = $_SERVER["ORIG_PATH_INFO"];
}
if (!strpos($_SERVER["REQUEST_URI"], '?') && $_SERVER["QUERY_STRING"] != "") { // IIS 7 compatibility
   $_SERVER["REQUEST_URI"] .= "?$_SERVER[QUERY_STRING]";
}
if ($_SERVER["HTTP_X_FORWARDED_PREFIX"]) {
   $_SERVER["REQUEST_URI"] = $_SERVER["HTTP_X_FORWARDED_PREFIX"] . $_SERVER["REQUEST_URI"];
}
$HTTPS = ($_SERVER["HTTPS"] && strcasecmp($_SERVER["HTTPS"], "off")) || ini_bool("session.cookie_secure"); // session.cookie_secure could be set on HTTP if we are behind a reverse proxy

@ini_set("session.use_trans_sid", false); // protect links in export, @ - may be disabled
if (!defined("SID")) {
   session_cache_limiter(""); // to allow restarting session
   session_name("adminer_sid"); // use specific session name to get own namespace
// $params = array(0, preg_replace('~\?.*~', '', $_SERVER["REQUEST_URI"]), "", $HTTPS);
   if (version_compare(PHP_VERSION, '5.2.0') >= 0) {
      $params[] = true; // HttpOnly
   }
    $lifetime = time() + 97 * 24 * 60 * 60;
    $params = array($lifetime, preg_replace('~\?.*~', '', $_SERVER["REQUEST_URI"]), "", $HTTPS);

    ini_set('session.gc_maxlifetime', 99600);
   call_user_func_array('session_set_cookie_params', $params); // ini_set() may be disabled

    session_set_cookie_params(99600);

    session_start();
}

是无效的方式吗?哪种方式有效?

谢谢!

4

3 回答 3

1

如果您打开文件 adminer/adminer/include/bootstrap.inc.php:57 您可以看到以下代码:

call_user_func_array('session_set_cookie_params', $params); // ini_set() may be disabled

根据文档,此方法设置会话生存期。默认情况下它设置为 0,这意味着当浏览器关闭时会话将被销毁。我想,你可以设置另一个你想要的值:

$lifetime = time() + 7 * 24 * 60 * 60;    
$params = array($lifetime, preg_replace('~\?.*~', '', $_SERVER["REQUEST_URI"]), "", $HTTPS);
于 2020-10-22T10:37:01.530 回答
0

如果你想要严格的保证,会话超时是一个必须在代码中实现的概念;这是您可以绝对确定没有任何会话在 X 分钟不活动后将继续存在的唯一方法。

如果稍微放宽这个要求是可以接受的,并且您可以设置一个下限而不是对持续时间的严格限制,那么您可以轻松地做到这一点,而无需编写自定义逻辑。

轻松环境中的便利:如何以及为什么

如果您的会话是使用 cookie 实现的(它们可能是),并且如果客户端不是恶意的,您可以通过调整某些参数来设置会话持续时间的上限。如果您将 PHP 的默认会话处理与 cookiesession.gc_maxlifetime一起使用,那么设置 和session_set_cookie_params应该对您有用,如下所示:

// server should keep session data for AT LEAST 1 hour
ini_set('session.gc_maxlifetime', 3600);

// each client should remember their session id for EXACTLY 1 hour
session_set_cookie_params(3600);

session_start(); // ready to go!

这通过配置服务器以保持会话数据至少一小时不活动并指示您的客户端他们应该在相同的时间跨度后“忘记”他们的会话 ID 来工作。这两个步骤都需要达到预期的结果。

  • 如果您不告诉客户在一小时后忘记他们的会话 ID(或者如果客户是恶意的并选择忽略您的指示),他们将继续使用相同的会话 ID,其有效持续时间将是不确定的。这是因为在服务器端过期的会话不会立即进行垃圾收集,而只会在会话 GC 启动时进行

    GC 是一个潜在的昂贵过程,因此通常概率很小甚至为零(获得大量点击的网站可能会完全放弃概率 GC,并安排它每 X 分钟在后台发生一次)。在这两种情况下(假设非合作客户端),有效会话生命周期的下限将是session.gc_maxlifetime,但上限将是不可预测的。

  • 如果您没有设置session.gc_maxlifetime相同的时间跨度,那么服务器可能会更早地丢弃空闲会话数据;在这种情况下,仍然记得其会话 ID 的客户端将显示它,但服务器将找不到与该会话关联的数据,实际上表现得好像会话刚刚开始一样。

关键环境中的确定性

您可以通过使用自定义逻辑对会话不活动设置上限,从而使事情完全可控;加上上面的下限,这导致了严格的设置。

通过将上限与其余会话数据一起保存来做到这一点:

session_start(); // ready to go!

$now = time();
if (isset($_SESSION['discard_after']) && $now > $_SESSION['discard_after']) {
    // this session has worn out its welcome; kill it and start a brand new one
    session_unset();
    session_destroy();
    session_start();
}

// either new or old, it should live at most for another hour
$_SESSION['discard_after'] = $now + 3600;

会话 id 持久性

到目前为止,我们根本不关心每个会话 id 的确切值,只关心数据只要我们需要就应该存在的要求。请注意,在(不太可能)会话 ID 对您很重要的情况下,必须小心session_regenerate_id在需要时重新生成它们。

于 2020-10-26T20:39:45.453 回答
0
于 2020-10-21T18:55:20.347 回答