PHP-сессии. Сколько их создается для одного посетителя?

Question

Павел @Palych_tw

Типа веб-разработчик

PHP
Ubuntu

PHP-сессии. Сколько их создается для одного посетителя?

Всем привет! Есть VPS с Ubuntu 12. Внезапно легли все сайты (5шт.) Поковырялся, проблема в том, что закончилось место. На самом деле закончились иноды. В папке с сессиями насобиралось полтора миллиона файлов sess_* . На этот момент сайты работали 5 месяцев, все молодые. Суммарный трафик не более 300 посетителей в сутки. Отсюда и вопрос нормально ли такое количество сессий, или это вредонос? И почему вообще apache или php не убирают за собой?

UPD в php.ini самого php стоит session.gc_maxlifetime = 1440
в сайтах на Opencart в php.ini стоит session.gc_maxlifetime = 3600
У WP своих php.ini не нашел.

UPD 2 сессии лежат в /var/www/user_name/data/mod-tmp
И я вижу там файлы созданные более 2-х часов назад. Это то время когда почистил все и задал вопрос.

UPD 3 Докопались до сути. В php.ini выключен сборщик мусора. стояли такие значения
session.gc_probability = 0
и
session.gc_divisor = 1000
Поставил session.gc_probability = 1 сессии начали удаляться.
Всем спасибо!

Вопрос задан более трёх лет назад
2736 просмотров

10 комментариев

Подписаться 6 Оценить 10 комментариев

VerniteAccount @VerniteAccount

Может стоит поискать плагин для Апача с авточистилкой + очищать сессии при логауте. На сколько я помню сессия должна уничтожаться автоматически в случае закрытия всех страниц сайта + сессия хранится не в файле а в Cookies и дублируется в HTTP заголовках. В редких случаях она может передаваться GET параметром после расширения файла в адресной строке браузера.

Написано более трёх лет назад
Павел @Palych_tw Автор вопроса

VerniteAccount: в куки хранится идентификатор сессии, а сама сессия на сервере. Вот мне и интересно откуда полтора ляма. Вычитал, что может быть от роботов. Они не хранят куки и, значит, на каждый запрос робота создается новая сессия. Но в апаче же должен быть сборщик мусора.. сессии же не должны храниться вечно

Написано более трёх лет назад
VerniteAccount @VerniteAccount

Павел: Подскажите, владелец сервера видит содержимое сессий выбранного хоста, при этом он может извлечь данные из сессии или она зашифрована и дешифруется во время компиляции скриптов?
Знаю, вопрос не совсем корректный, так как хостер может делать с сайтом все что угодно, в теории. Но все-же, это меня интересует, так как в будущем возможно буду хостить его у себя на машине.

Написано более трёх лет назад
Павел @Palych_tw Автор вопроса
VerniteAccount: нет, данные не шифруются. можно зайти и посмотреть что написано в файлике сессии. Там примерно такое
default|a:2:{s:8:"language";s:2:"ru";s:8:"currency";s:3:"UAH";}
Окружение клиента грубо говоря. если он залогинен там может лежать id пользователя, и, вероятно, хеш пароля, но не точно. Но в самом файле сессии не как не указано какому клиенту он принадлежит. Принадлежность проверяется по кукам
Написано более трёх лет назад
VerniteAccount @VerniteAccount

Павел: Спасибо за ответ, а что быстрее и надежнее стандартные сессии либо массив с данными в Cookies и своими хешами с солью?

Написано более трёх лет назад
Павел @Palych_tw Автор вопроса

VerniteAccount: куки ограничены по размеру и небезопасны. Не стоит изобретать велосипедов)

Написано более трёх лет назад
k2lhu @k2lhu

Возможно сумасшедшее предположение, но вы используете session_destroy(); ?

Написано более трёх лет назад
Павел @Palych_tw Автор вопроса

сайты на Opencart и WordPress, уверен там это все предусмотрено.

Написано более трёх лет назад
Arman @Arik

скорее всего сайты указали хранить сессии на несколько лет - общая практика в целом, вы в свою очередь можете настроить какой крон и в наглую удалять файлы по времени модификации, в целом пользователей просто попросят еще раз авторизоваться, если не было их больше месяца допустим. Еще вариант переназначить механизм сессии хранить их в БД, мемкэш или редис, но опять же это ресурсы, я бы пошел по первому пути, не нравится, пусть переделают механизм сессии на свое и получат сессию больше месяца или два сколько там дадите им

Написано более трёх лет назад
k2lhu @k2lhu

Павел: вы правы, интересно в чем же дело :)

Написано более трёх лет назад

Решения вопроса 3

8 комментариев

Павел @Palych_tw Автор вопроса

Спасибо. Дополнил вопрос. Почему сессии не удаляются?

Написано более трёх лет назад
Павел @Palych_tw Автор вопроса
судя по содержимому - сессии плодит Opencart. Я не могу ручаться прям за все, но за последние 2 час создано около 100 файлов, поклацал по ним - там такое:
default|a:2:{s:8:"language";s:2:"ru";s:8:"currency";s:3:"UAH";}
Написано более трёх лет назад
Евгений Вольф @Wolfnsex Куратор тега PHP

Павел: как вариант - просто не успевают, один бот, за 10 минут может сделать очень много запросов. А за 24-60 минут, даже 1.5млн. запросов могли пройти. Нужно анализировать дату/время создания и последнего обращения к файлам сессий которые там насоздавались, что бы дать какой-то более конкретный ответ. Так же, "Garbage collector" срабатывает только каждый N-ый запрос, то есть он срабатывает с некоторым процентным соотношением (по умолчанию, 1% кажется), возможно вероятность срабатывания его, так же была изменена (ссылка в ответе выше, два параметра сразу над "maxlifetime").

Мне кажется, Вам проще было бы поставить что-то вроде этого... ну или хотя бы ограничьте макс. кол-во запросов в минуту с одного IP.

Написано более трёх лет назад
Павел @Palych_tw Автор вопроса

Евгений Вольф: Шикарно! В php5/apache2/php.ini стоит session.gc_probability = 0 и session.gc_divisor = 1000 . Я так подозреваю, что сборщик мусора у меня запускался чуть реже чем никогда? интересно, кто мне так напакостил. Это не дефолтные значения. Хостер, когда на впс накатывал систему, или человек, который настраивал его?

Написано более трёх лет назад
Евгений Вольф @Wolfnsex Куратор тега PHP

Павел: вряд ли на вопрос "кто" кто-то из здесь присутствующих сможет дать ответ. Но, если верить формуле, сборщик запускался с вероятностью "0/1000" при каждом запросе. Хостер бы вряд ли подобным занимался, просто по тому, что хостеру чаще всего, вообще фиолетово, на Ваши настройки... Хостеры обычно ставят систему из образа-болванки, а там 99% настроек идут по умолчанию.

Написано более трёх лет назад
Павел @Palych_tw Автор вопроса

Евгений Вольф:
с вероятностью "0/1000"
То есть никогда не запускался, если я правильно понял. Поставил 1 и 100, посмотрю, поможет ли, если все ок, поотмечаю ответы) Спасибо!

Написано более трёх лет назад
Евгений Вольф @Wolfnsex Куратор тега PHP

Павел: Если не поможет, по какой-то неведомой причине, могу подсказать Вам одно решение из разряда "в лоб". PHP не хочет управлять сессиями? Пусть сессиями управляет НЕ ПХП! :))) Такой подход немного ускорит доступ к данным и будет меньше дёргать жесткий диск, на VPS может быть тоже актуально, т.к. дисковая подсистема - обычно самое слабое место у них.

Написано более трёх лет назад
Павел @Palych_tw Автор вопроса

Евгений Вольф: спасибо. Интересно)

Написано более трёх лет назад

5 комментариев

Павел @Palych_tw Автор вопроса

а какие альтернативы есть для хранения сессий? И может ли CMS для себя переписать настройки PHP на сервере?

Написано более трёх лет назад
VerniteAccount @VerniteAccount

Насчет > категорически не советую использовать родной механизм сессий php согласен с вами, то есть сессия таки хранится на сервере у хостера, а вызывается по id из фронтэнда, значит ли это что он имеет доступ к данным в этом файле либо происходит дешифрование "на лету" при очередной компиляции скриптов?

Написано более трёх лет назад
Дмитрий Энтелис @DmitriyEntelis

Павел: можно хранить сессии в sql, можно хранить их в redis, можно где угодно. Погуглите, информации море.

Написано более трёх лет назад
Дмитрий Энтелис @DmitriyEntelis

VerniteAccount: 1. Фронт не имеет доступа к содержимому сессии. 2. данные сессии никак не шифруются в принципе.

Написано более трёх лет назад
Павел @Palych_tw Автор вопроса

Спасибо. Дополнил вопрос. Почему сессии не удаляются?

Написано более трёх лет назад

2 комментария

Пригласить эксперта

Ответы на вопрос 1

1 комментарий

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+1 ещё

Простой
Как из php передать ошибки в js?
- 1 подписчик
- 19 часов назад
- 165 просмотров
2

ответа
Node.js

+1 ещё

Простой
Error during build: RollupError: Could not resolve. Как исправить ошибку?
- 1 подписчик
- 21 час назад
- 29 просмотров
1

ответ
PHP

+2 ещё

Средний
Версии файлов на сайте отличаются от тех что я вижу через админку?
- 1 подписчик
- вчера
- 95 просмотров
1

ответ
PHP

+1 ещё

Простой
Регулярное выражение поиск по группам или нет?
- 1 подписчик
- вчера
- 104 просмотра
1

ответ
PHP

Простой
Как переделать код php, что бы отправлялись несколько файлов?
- 1 подписчик
- вчера
- 126 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Почему в консоли вылетатет ошибка unexpected character at line 1 column 1 of the JSON data, когда поля формы не заполнены?
- 1 подписчик
- вчера
- 133 просмотра
2

ответа
PHP

+1 ещё

Простой
Как связать таблицы по одному столбцу и посчитать сумму?
- 2 подписчика
- 14 апр.
- 296 просмотров
2

ответа
PHP

+2 ещё

Простой
Как подружить html с json?
- 1 подписчик
- 14 апр.
- 151 просмотр
1

ответ
PHP

+1 ещё

Простой
Почему не выводит первую строку в select?
- 1 подписчик
- 14 апр.
- 70 просмотров
1

ответ
PHP

+2 ещё

Простой
Как подключиться из PHP к memcached с использованием socket?
- 1 подписчик
- 14 апр.
- 80 просмотров
2

ответа
Показать ещё Загружается…

PHP-разработчик

M-Social Production • Брянск

от 70 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

PHP-разработчик

FunPay

от 300 000 до 500 000 ₽

Сделать мобильную версию сайта Next.js/React

16 апр. 2024, в 15:53

500 руб./в час

Разработка дизайна web-приложения

16 апр. 2024, в 15:34

5000 руб./за проект

Выполнить декомпозицию задания по разработке веб-сервиса

16 апр. 2024, в 15:19

2500 руб./за проект

Может стоит поискать плагин для Апача с авточистилкой + очищать сессии при логауте. На сколько я помню сессия должна уничтожаться автоматически в случае закрытия всех страниц сайта + сессия хранится не в файле а в Cookies и дублируется в HTTP заголовках. В редких случаях она может передаваться GET параметром после расширения файла в адресной строке браузера.
VerniteAccount: в куки хранится идентификатор сессии, а сама сессия на сервере. Вот мне и интересно откуда полтора ляма. Вычитал, что может быть от роботов. Они не хранят куки и, значит, на каждый запрос робота создается новая сессия. Но в апаче же должен быть сборщик мусора.. сессии же не должны храниться вечно
Павел: Подскажите, владелец сервера видит содержимое сессий выбранного хоста, при этом он может извлечь данные из сессии или она зашифрована и дешифруется во время компиляции скриптов?
Знаю, вопрос не совсем корректный, так как хостер может делать с сайтом все что угодно, в теории. Но все-же, это меня интересует, так как в будущем возможно буду хостить его у себя на машине.
VerniteAccount: нет, данные не шифруются. можно зайти и посмотреть что написано в файлике сессии. Там примерно такое
default|a:2:{s:8:"language";s:2:"ru";s:8:"currency";s:3:"UAH";}
Окружение клиента грубо говоря. если он залогинен там может лежать id пользователя, и, вероятно, хеш пароля, но не точно. Но в самом файле сессии не как не указано какому клиенту он принадлежит. Принадлежность проверяется по кукам
Павел: Спасибо за ответ, а что быстрее и надежнее стандартные сессии либо массив с данными в Cookies и своими хешами с солью?
VerniteAccount: куки ограничены по размеру и небезопасны. Не стоит изобретать велосипедов)
Возможно сумасшедшее предположение, но вы используете session_destroy(); ?
сайты на Opencart и WordPress, уверен там это все предусмотрено.
скорее всего сайты указали хранить сессии на несколько лет - общая практика в целом, вы в свою очередь можете настроить какой крон и в наглую удалять файлы по времени модификации, в целом пользователей просто попросят еще раз авторизоваться, если не было их больше месяца допустим. Еще вариант переназначить механизм сессии хранить их в БД, мемкэш или редис, но опять же это ресурсы, я бы пошел по первому пути, не нравится, пусть переделают механизм сессии на свое и получат сессию больше месяца или два сколько там дадите им
Павел: вы правы, интересно в чем же дело :)

Answer 1 · 2016-12-24 10:54:07

Пока думал о причино-следственных связях происходящего и писал ответ, тут уже без меня и написали много и на часть вопросов ответили... и даже прояснилось кое что...

Как Вы понимаете, сказать с большей вероятностью сложно, но мне картина видится, в таком порядке:
1. У Вас есть сайт на ВП
2. Админка ВП или её признаки, доступны по стандартным адресам
3. Заходит бот, в поисках свежего ВП для взлома (с целью рассылки спама), и пытается брутфорсить Вашу админку, или ещё что-то в таком духе делать
3.1 Возможно ему приглянулась админка не ВП, а какого другого сайта... без подробных логов доступа угадать - как пальцем в... небо!
4. Бот несколько часов генерирует паразитные запросы
5. Каждый такой запрос, создаёт новый файл сессии
6. По умолчанию, файл сессии ПХП хранится 24 часа
7. Файлов сессий стало слишком много

Это наверное, самый вероятный вариант из всех, что мне удалось придумать не имея доступа к серверу и практически никакой информации о происходящем внутри оного...

Возможные полезные действия с Вашей стороны:
а) Можно настроить время жизни сессий в ПХП
б) Не хранить админки в свободном доступе
в) Выбрать и установить какой-то механизм защиты от ботов. Не сложно догадаться, что пользователь не мог запрашивать 500 страниц в минуту...

Answer 2 · 2016-12-24 10:36:32

VerniteAccount: помнит не правильно. В куках хранится id сессии, сами данные сессии по умолчанию хранятся именно в файлах, за настройку отвечают параметры php.net/manual/ru/session.configuration.php#ini.se... и php.net/manual/ru/session.configuration.php#ini.se...

время жизни хранится в php.net/manual/ru/session.configuration.php#ini.se...

а вообще категорически не советую использовать родной механизм сессий php.

Answer 3 · 2016-12-24 13:12:25

Пума Тайланд @opium

Просто люблю качественно работать

судя по всему у вас испменеджер и отключена чистка сессий

Ответ написан более трёх лет назад

2 комментария

Answer 4 · 2016-12-24 10:47:25

скорее всего сайты указали хранить сессии на несколько лет - общая практика в целом, вы в свою очередь можете настроить какой крон и в наглую удалять файлы по времени модификации, в целом пользователей просто попросят еще раз авторизоваться, если не было их больше месяца допустим. Еще вариант переназначить механизм сессии хранить их в БД, мемкэш или редис, но опять же это ресурсы, я бы пошел по первому пути, не нравится, пусть переделают механизм сессии на свое и получат сессию больше месяца или два сколько там дадите им, но не думаю что они этого даже заметят

PHP-сессии. Сколько их создается для одного посетителя?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт