我正在考虑在每个页面上使用此代码,以减少 session 劫持的可能性。通过在每个请求上更新session_id
if(!empty($_session)){
session_start();
}
实现此目的的另一种方法是:
if(!empty($_session)){
session_regenerate_id(true);
}
但是,我听到对该功能的批评说,如果由于某种原因刷新页面太快,则 session ID无效。
使用 session ID的另一种方法是对 session 的生成方式有更多的控制。
还有其他方法可以做到这一点。最佳实践是什么?
最佳答案
为什么不加密并使用已生成的 session ID,而不是生成 session ID。当预期的操作完成时,可以使用和销毁它。
关于php - 正在重新生成 session ID,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/8134501/