php - 使用 PHP 会话安全注销

Question

我有一个基于 PHP 会话的登录系统。当用户单击注销链接时，脚本调用session_destroy()函数并且用户注销（服务器上带有用户数据的会话文件被删除）。当用户刚刚关闭浏览器时，他也会注销（cookie 在关闭时过期），但包含用户数据的会话文件仍保留在服务器上。

那么从安全的角度来看有没有漏洞呢？如果是这样，我必须做些什么来防止它？

Answer 1

我认为您可以使用session.gc 属性来删除旧的会话文件。