0

在我的 PHP 代码中使用 session_destroy() 时出现错误。

以下脚本在每个页面上,如果用户登录,它会检查会话是否有效,如果不是则终止会话。

session_start();

// check for users already signed in and check session
if (isset($_SESSION['user_id'])) {
    $uid = $_SESSION['user_id'];

    // check user_id is a valid id
    if (!is_numeric($uid) || $uid < 0) {
        session_unset();
        session_destroy();
        session_regenerate_id(true);
    }

    // if user agent is different, kill session
    if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT']) {
        session_unset();
        session_destroy();
        session_regenerate_id(true);
    }

    // if user's last login record fails to match session_id, kill session
    $SQL = "SELECT user_session FROM users_logins ";
    $SQL .= "WHERE user_id = :user_id ";
    $SQL .= "ORDER BY time_in DESC LIMIT 1;";
    $STH = $DBH_P->prepare($SQL);
    $STH->bindParam(':user_id', $uid);
    $STH->execute();
    $row = $STH->fetch();
    if ($STH->rowCount() > 0) {
        $db_sid = $row['user_session'];
    }
    if ($db_sid !== session_id()) {
        session_unset();
        session_destroy();
        session_regenerate_id(true);
    }
}

我收到的错误表明失败来自上次session_destroy()调用。

我使用session_destroy()正确与否?我在这里阅读了其他问题,但大多数答案建议session_start()必须在销毁它之前使用它,但我已经在检查开始之前在顶部开始了会话。

4

1 回答 1

1

您在那里做了一些疯狂的事情(但是您需要与自己协商,我的答案中没有涉及),您看到错误消息的原因很简单:

 session_regenerate_id(true);

正在命令 PHP 销毁旧会话。问题是,你已经这样做了,前面一行:

 session_destroy();
 session_regenerate_id(true);

因此,只需从上方查看。没有理由以强迫症的方式将您认为合适的功能(但实际上并不了解/不太了解)扔到您的会话处理中。相反,如果您想在其中放置一些安全网,请使用旨在完成这项工作的一个函数并实际处理它的返回值。那会更有帮助。

于 2013-08-31T18:01:32.533 回答