我的一个朋友以这种方式开始了他的会议。
<?php
session_start();
session_regenerate_id();
session_destroy();
unset($_SESSION);
session_start();
?>
是否有针对会话劫持等的安全优势?
只是想知道为什么与通常的session_start()相反?
最佳答案
您只需要
session_start()
session_regenerate_id()
这将启动会话并在每个请求上更改其ID。但是,这不会阻止会话劫持。如果攻击者可以获取用户的会话cookie并在用户可以之前将请求发送回服务器,则攻击者将获得全新的会话ID,并且该用户将获得无效的会话令牌并被有效注销。