0

为什么总是建议在创建用户会话之前使用session_regenerate_id() 。根据我的理解,一旦创建了用户会话 id,就应该使用 session_regenerate_id(),我们需要重新生成它,以减轻黑客的会话固定攻击。

请推荐!!

4

2 回答 2

1

我不确定你从哪里得到推荐,但session_regenerate_id手册显示它在 session_start 之后使用,所以你的假设是正确的。

于 2012-11-02T22:25:33.997 回答
0

从我读过的所有内容中,必须先调用 session_start() 。主要思想是每次都创建一个新的 id,这样如果黑客在同一个网络上,他们就没有静态 id 来访问您的站点。这是如何完成的一个很好的解释。

https://youtu.be/8dMsHmlxY0s

这是一个很好的答案,比视频更详细:

https://stackoverflow.com/a/37492488/2654453

于 2016-10-11T15:52:36.303 回答