Sessions PHP: que se passe-t-il si je définis l'expiration de la session sur 10 jours?

Question

Je souhaite que les utilisateurs de mon application restent connectés pendant de très longues périodes. Le problème est que la session expire à la fin du serveur, perdant ainsi des variables stockées dans la session. Donc, je mets la session à expiration dans 10 jours.

Ma question est la suivante: y a-t-il des problèmes de sécurité ou de performance liés à la définition de l'expiration du CPG et de la durée de vie des cookies à 10 jours?

ini_set('session.cookie_lifetime', 864000); 
ini_set('session.gc_maxlifetime', 864000); 

Answer 1

Il est évident que plus le délai de session plus le risque de détournement d'avion cookie/session, mais à moins que vous avez affaire, je serais enclin à le faire avec des informations très sensibles (dossiers de santé, les services bancaires en ligne, etc.) que vous faites . En fait j'ai.

Answer 2

Vous augmenterez le risque de détournement de session.

J'appellerais périodiquement session_regenerate(). Cela permettrait d'atténuer le risque pour les utilisateurs qui se connectent réellement, mais ne fait rien pour ceux qui ne le font pas.