Sesion Handler PHP Sering Membuat User Logout Sendiri


Secara sederhana session Handler interface PHP ini merupakan sebuah cara untuk mengelola session didalam database, kita bisa membuat sebuah class dengan Implements SessionHandlerInterface dengan beberapa property seperti open, write, read, destroy gc dsb.


Dalam praktik percobaan pada aplikasi yang saya buat dengan implementasi pengelolaan session dalam database, saya mencoba menguji pemakaian bersama – sama didalam sebuah komputer dengan dua browser yang berbeda, satu menggunakan chrome, satu menggunakan firefox, dimana session di store ke database seperti pada gambar

mengelola session dalam database


Sebelumnya saya perlu menjabarkan beberapa point terkait masalah ini

Tutorial PHP Menggunakan Session HandlerTutorial PHP Menggunakan Session Handler


  1. Ketika salah satu user melakukan banyak request seperti contohnya user A dengan session id awalan 55 melakukan reload halaman berkali – kali, entah kenapa tiba – tiba session_id user B hilang/terhapus, dalam praktik yang lebih besar, user dengan jumlah 100 orang ketika mengakses bersama – sama sering logout
  2.  Sementara session yang melakukan requestnya tidak terhapus, apa karena ada fungsi garbage collection di fungsinya ? yang di callback ketika request tertentu sudah terpenuhi, masalah ini terlihat jelas ketika aplikasi ditest dengan banyak pengguna, user sering mengalami logout sendiri atau kehilangan session data/idnya,
  3. Didalam fungsi GC (Garbage Collection) Saya mendefinisikan query sebagai berikut :
    $sql = "DELETE FROM session WHERE created < DATE_SUB(NOW(), INTERVAL $maxlifetime SECOND )"; maksud query ini mendelete semua session yang kurang dari 2 hari dari hari sekarang, jika hari ini tanggal 15 berarti dia akan menghapus session dari tanggal 12
  4. Nilai created itu dihasilkan oleh fungsi time() php jadi jika menggunakan query diatas sebenarnya mungkin kurang tepat harusnya mungkin menggunakan pembungkus UNIX_TIMESTAMP didalam fungsi DATE_SUB
  5. Jadi disini seolah – olah Garbage Collection menghapus nilai – nilai session yang sedang aktif, harusnya tidak boleh mendelete session yang sedang aktif

Dari permasalahan diatas saya coba sebuah metode dimana session_set_save_handler($var, true) akan didefinisikan ketika dibutuhkan saja, karena pada awalnya karena saya belum begitu mengerti, saya memberikan semua session atau handler pada semua halaman, kemudian saya melihat metode session seperti pada Drupal 7, dimana didalam tabel session milik Drupal, nilai session hanya diberikan untuk user yang melakukan login, jika tidak login maka maka tidak ada session yang ditambahkan.

Sehingga session_set_save_handler($var, true) hanya didefinsikan ketika proses autentifikasi login sesuai, sehingga didalam class login saya mendefinisikan nilainya seperti berikut :




 session_set_save_handler($this->handler, true);
                                session_start();     
                                $_SESSION['uid']=$this->obj2->uid;
                                $_SESSION['created']=time();
                                $_SESSION['name']=$this->obj2->name;
                                $this->app->reload(5,'user/?page=home');



Lalu untuk mengembalikan user, membaca session atau untuk mengidentifikasi nilai session yang tersimpan, maka saya mengidentifikasinya melalui session id, dimana disini tentunya dibaca menggunakan session handler seperti berikut :



if(!empty($handler->read(session_id())))header("location:user/?page=home");
$handler->gc(ini_set('session.gc_maxlifetime', 200000));


  1. Pada contoh script diatas garbage collection / GC tidaklah didefinisikan didalam session aktif jadi GC bertugas diluar session yang sedang aktif.
  2. Selanjutnya tidak ada sesion_start atau session_set_save_handler didalam halaman tersebut
  3. Nah session_start() dan session_set_save_handler didefinisikan ketika proses autentifikasi login berhasil dan atau didefinisikan oleh halaman yang membuthkan session dihalaman selanjutnya jika proses login berhasil
  4. Halaman selanjutnya saat proses login berhasil kita baru perlu mendefinisikan session_start() dan session_set_save_handler seperti berikut :
    session_set_save_handler($handler, true);
    session_start();
  5. Jika Anda berpikir untuk tidak mendefinisikan session_set_save_handler setelah login berhasil dihalaman berikutnya dan hanya mendefinsikan sesion_start() saja maka halaman berikutnya yang membuthkan autentifikasi akan mengembalikan Anda atau tidak akan memproses login Anda
  6. Atau sebaliknya jika Anda hanya mendefinisikan session_set_save_handler saja memanggil fungsi session_start maka Anda akan dikembalikan tanpa autentifikasi alias Anda gagal login
  7. Point 5 dan 6 tentu sangat aneh karena pada halaman tanpa session (poin 2) kita bisa membaca session_id dan mengidentifikasi user untuk dikembalikan ke halaman yang terautentifikasi tanpa harus mendefinisikan session_start() atau session_set_save_handler.
  8. Hal tersebut (poin 7) dikarenakan halaman tersebut tidak didefinisikan nili session_start() dan session_set_save_handlernya dari awal, sedangkan pada proses autentifikasi session_start dedifinikan dan menampung semua data session. Maka tentu halaman berikutnya perlu didefinisikan juga keduanya yaitu sesion_start dan session_set_save_handler

Dari hasil beberapa percobaan akhirnya saya bisa membuat garbage collection bekerja sesuai dengan keinginan, GC menghapus session yang kadaluarsa dan membiarkan session yang tidak kadaluarsa.

Tetapi saya masih heran pada masalah sebelumnya karena saya sama sekali tidak mendefinisikan garbage collection tetapi session seperti terhapus sendiri atau user logout sendiri ketika terjadi beberapa request, untuk masalah ini saya berfikir bahwa sepertinya ada dua kemungkinan :

1. Masalah SERVER
2. Penulisan Query yang salah.

Meskipun saya berhasil membuat GC clean nilai session yang kadaluarsa secara otomatis tetapi saya belum yakin secara pasti khusunya ketika nanti Aplikasi diakses secara bersama – sama dalam jumlah banyak, apakah akan terjadi masalah atau tidak.

Update #20-09-22
session_start harus tetap didefinisikan ketika ingin menggunakan parameter READ, ketika session_start() didefinisikan maka session_id bisa dibaca oleh read, dan masalahnya adalah jika session start didefinisikan diawal tanpa/sebelum session_set_save_handler maka pasti akan ada error seperti :
Warning: session_set_save_handler(): Cannot change save handler when session is active 

Jadi seandainya jika hanya ingin write session ke database ketika memang ada request/sudah berhasil login tanpa harus mendefinsikan session_start disemua halaman memang agaknya merepotkan terutma jika menggunakan single page, karena session_start memang harus didefinisikan untuk megidentifikasi user dan supaya bisa dikembalikan, kecuali memang session_set_save_handler(); tidak perlu selalu didefinisikan, tetapi masalahnya adalah jika misal itu di halaman login dan user yang sudah login mencoba kembali ke halaman login maka diatasnya perlu di set session_start terlebih dahulu, 

Jadi pada intinya session_start dan session_set_save_handler keduanya perlu dikolaborasikan secara bersamaanya, jadi memang Session Handler akan terus melakukan write session_id ke database ketika session_start dimulai. Untuk garbage collection Anda bisa mendefinisikannya seperti berikut gc(200000) tanpa harus mendefiniskan session.gc_maxlifetime nya.

0 Response to " Sesion Handler PHP Sering Membuat User Logout Sendiri"

Post a Comment

Komentar yang Anda kirim akan terlebih dahulu di moderasi oleh Admin