3

我在使用 PHP 做一些非常基本的会话安全类型的事情时遇到了困难:

  • 当从非认证的上下文切换到认证的上下文时,应该生成一个新的会话 ID
  • 从经过身份验证的上下文切换到未经过身份验证的上下文时,应生成新的会话 ID

我想做的不仅是在切换上下文时重新生成会话ID,而且在切换这些上下文时立即将一些东西放入会话中(例如FLASH)。这三页应该有望澄清我的期望:

<?php
/* page1.php */
session_start();
# Just putting something in the session which I expect to
# not show up later
$_SESSION['INFO1'] = 'INFO1';
?>
<html>
<a href="page2.php">Page 2</a>
<?php print_r($_SESSION) ?>
</html>

因此,当显示此页面时,我希望看到INFO1显示。我也希望当我回到这里时不会看到INFO2出现。如果我还没有会话 ID,我希望得到一个(我有)。

<?php
# page2.php
session_destroy();
session_regenerate_id(TRUE);
$_SESSION['INFO2'] = 'From page 2';
session_write_close();
header('Location: page3.php');
exit;
?>

这将最类似于注销功能 - 我们通过传递TRUE给现有会话无效session_regenerate_id。另外,我在(可能的)会话中放了一些东西——可能就像一个 FLASH——说“你已经成功注销了。

#page3.php
<html>
<body>
<?php session_start(); ?>
<?php print_r($_SESSION); ?>
</body>
</html>

在这个页面上,我预计会发生两件事:

  • 重定向page2.php应该向我发送了一个新的会话 ID cookie(它没有)
  • 我希望print_r从 打印信息INFO2,而不是INFO1。它没有来自 的信息INFO1,但不包括来自 的信息INFO2

session_regenerate_id与重定向的结果非常非常不一致。手动发送该标头似乎很麻烦Set-Cookie-但即使我没有,session_regenerate_id(TRUE)也应该使旧的会话 ID 无效-因此,即使浏览器由于某种原因没有获得新的会话 ID,它也不会看到会话中的任何信息,因为旧会话已失效。

有没有其他人遇到过这类问题?有没有解决这些问题的好方法?

4

1 回答 1

5

根据 的文档session_regenerate_id听起来会话的内容总是被保留。您正在向它传递一个TRUE参数,但这只会删除磁盘上的实际会话文件;存储在其中的值会保留在$_SESSION其中,然后写入新会话。

所以也许手动清除它:

$_SESSION = array();

不过,不确定为什么您没有看到新的 cookie。你在哪里检查,你看到了什么?

编辑:正如 OP 在下面的评论中所揭示的那样,问题似乎是 page2 从未调用session_start加载第一个会话。产生以下内容:

<?php
    session_start();    # Load the old session
    session_destroy();  # Nuke it
    session_unset();    # Delete its contents
    session_start();    # Create a new session
    session_regenerate_id(TRUE);  # Ensure it has a new id
    $_SESSION['FLASH'] = "You've been logged out";
    session_write_close();  # Convince it to write
    header('Location: index.php');
?>

我不知道这是否是最小的。弄清楚其中有多少可以删除,留给读者作为练习。

于 2013-01-15T01:26:24.007 回答