Hier is een voorbeeld PHP-script dat voldoet aan jouw eisen: ```php <?php session_start(); // Configuratie voor meerdere servers (bijvoorbeeld via een gedeelde opslag of database) ini_set('session.save_handler', 'files'); // Of gebruik 'memcached' of 'redis' indien nodig ini_set('session.save_path', '/path/to/session/storage'); // Pas dit aan aan jouw omgeving // Sessietijd instellen op 900 seconden (15 minuten) $timeout = 900; ini_set('session.gc_maxlifetime', $timeout); session_set_cookie_params($timeout); $now = time(); // Beveiliging: vernieuw sessie-ID bij login of belangrijke acties if (!isset($_SESSION['initiated'])) { session_regenerate_id(true); $_SESSION['initiated'] = true; } // Bescherm tegen sessie-kaping door te controleren op IP en User-Agent if (isset($_SESSION['ip']) && $_SESSION['ip'] !== $_SERVER['REMOTE_ADDR']) { session_destroy(); session_start(); } if (isset($_SESSION['user_agent']) && $_SESSION['user_agent'] !== $_SERVER['HTTP_USER_AGENT']) { session_destroy(); session_start(); } // Bij eerste keer, sla IP en User-Agent op if (!isset($_SESSION['ip'])) { $_SESSION['ip'] = $_SERVER['REMOTE_ADDR']; } if (!isset($_SESSION['user_agent'])) { $_SESSION['user_agent'] = $_SERVER['HTTP_USER_AGENT']; } // Tijdstempel voor timeoutbeheer if (isset($_SESSION['last_activity'])) { if (($now - $_SESSION['last_activity']) > $timeout) { // Sessietimeout bereikt session_unset(); session_destroy(); session_start(); } } $_SESSION['last_activity'] = $now; // Voorbeeld: login logica // Als gebruiker inlogt, vernieuw sessie-ID if (isset($_POST['login'])) { // ... authenticatie code ... session_regenerate_id(true); $_SESSION['user'] = $_POST['username']; } ?> ``` **Samenvatting van de functionaliteit:** - **Persistentie over meerdere servers:** Door het aanpassen van `session.save_handler` en `session.save_path` kun je bijvoorbeeld gebruik maken van gedeelde opslag zoals Redis of Memcached voor schaalbare setups. - **Beveiliging tegen sessie-kaping:** Sessie wordt gekoppeld aan IP-adres en User-Agent. Bij afwijkingen wordt de sessie vernietigd. - **Automatische time-out:** Na 900 seconden inactivity wordt de sessie automatisch afgesloten. - **ID vernieuwing:** Bij login en belangrijke acties wordt de sessie-ID vernieuwd voor extra beveiliging. Pas het script aan op jouw specifieke server- en beveiligingsvereisten.

Hier is een PHP-sessiebeheer script met de gevraagde functionaliteiten: ```php <?php class SessionManager { private $timeout = 900; // 15 minuten in seconden public function __construct() { // Configureer sessie-instellingen voor distributie ini_set('session.save_handler', 'redis'); ini_set('session.save_path', 'tcp://127.0.0.1:6379?weight=1&timeout=2.5'); // Beveiligingsinstellingen ini_set('session.use_strict_mode', 1); ini_set('session.use_only_cookies', 1); ini_set('session.cookie_httponly', 1); ini_set('session.cookie_secure', 1); // Alleen HTTPS ini_set('session.cookie_samesite', 'Strict'); session_start(); // Controleer sessie timeout $this->checkTimeout(); } public function regenerateSession() { // Vernieuw sessie-ID bij login session_regenerate_id(true); $_SESSION['last_regeneration'] = time(); } private function checkTimeout() { if (isset($_SESSION['last_activity'])) { $session_life = time() - $_SESSION['last_activity']; if ($session_life > $this->timeout) { // Sessie expired $this->destroySession(); header('Location: login.php?timeout=1'); exit(); } } // Update laatste activiteit $_SESSION['last_activity'] = time(); } public function set($key, $value) { $_SESSION[$key] = $value; $_SESSION['last_activity'] = time(); // Update activiteit bij elke actie } public function get($key) { $this->checkTimeout(); // Controleer timeout bij elke toegang return isset($_SESSION[$key]) ? $_SESSION[$key] : null; } public function destroySession() { // Vernietig sessie volledig $_SESSION = array(); // Verwijder sessie cookie if (ini_get("session.use_cookies")) { $params = session_get_cookie_params(); setcookie(session_name(), '', time() - 42000, $params["path"], $params["domain"], $params["secure"], $params["httponly"] ); } session_destroy(); } public function validateSession() { // Extra validatie tegen sessie-kaping if (!isset($_SESSION['user_agent'])) { $_SESSION['user_agent'] = $_SERVER['HTTP_USER_AGENT']; } elseif ($_SESSION['user_agent'] !== $_SERVER['HTTP_USER_AGENT']) { $this->destroySession(); return false; } if (!isset($_SESSION['ip_address'])) { $_SESSION['ip_address'] = $_SERVER['REMOTE_ADDR']; } elseif ($_SESSION['ip_address'] !== $_SERVER['REMOTE_ADDR']) { // Optioneel: minder strikt voor dynamische IP's $this->destroySession(); return false; } return true; } } // Gebruiksvoorbeeld: $session = new SessionManager(); // Bij login: $session->regenerateSession(); $session->set('user_id', 123); $session->set('username', 'gebruikersnaam'); // Sessie validatie op elke pagina if (!$session->validateSession()) { header('Location: login.php?error=invalid_session'); exit(); } // Toegang tot sessie data $userId = $session->get('user_id'); ?> ``` **Aanvullende configuratie nodig:** 1. **Redis installatie** (voor distributed sessions): ```bash sudo apt-get install redis-server sudo apt-get install php-redis ``` 2. **.htaccess** voor extra beveiliging: ```apache <IfModule mod_php7.c> php_value session.cookie_httponly 1 php_value session.cookie_secure 1 php_value session.use_strict_mode 1 </IfModule> ``` 3. **Database backend** (alternatief voor Redis): ```php // Voor database sessieopslag: ini_set('session.save_handler', 'user'); session_set_save_handler($handler, true); ``` **Belangrijke beveiligingsmaatregelen:** - Sessie-ID regeneratie bij privilege wijziging - HTTPS verplicht voor cookies - Strict transport security headers - Reguliere sessie validatie - Automatische timeout na 900 seconden inactiviteit Dit script biedt robuust sessiebeheer met distributie-mogelijkheden en sterke beveiliging tegen sessie-kaping.