1

我希望我的应用程序的用户在很长一段时间内保持登录状态。问题是会话在服务器端过期,因此丢失了存储在会话中的变量。因此,我将会话设置为 10 天后到期。

我的问题是:将 GC 到期和 cookie 生命周期设置为 10 天是否存在任何安全或性能问题?

ini_set('session.cookie_lifetime', 864000);
ini_set('session.gc_maxlifetime', 864000);
4

2 回答 2

2

显然,会话超时越大,cookie/会话劫持的风险就越大,但除非您正在处理高度敏感的信息(健康记录、网上银行等),否则我倾向于像您那样做。事实上我有。

于 2009-10-17T03:02:17.477 回答
0

您将增加会话劫持的风险。

我会定期调用 session_regenerate()。这将减轻实际登录的用户的风险,但对那些没有登录的用户无能为力。

于 2009-10-17T03:03:07.523 回答