18

我正在尝试对 Web 应用程序的注销功能进行故障排除。当您登录时,该应用程序为其域设置了多个 cookie。这是当前的注销过程:

  • 您单击一个链接,该链接会将您发送到注销页面
  • 注销页面运行一个函数,该函数调用session_destroy()并循环遍历域的所有 cookie,并将它们设置为过去过期(请参见下面的代码)
  • 注销页面然后重定向到一个登录页面,这是直接的 HTML。

在此过程结束时,所有其他 cookie 都未设置,但PHPSESSIDcookie 仍然存在,具有相同的值,并且仍然设置为在会话结束时过期。

我在这里想念什么?

这是我上面提到的注销功能:

function log_out_current_user() {

        // Destroy the session
        if (isset($_SESSION)) {
            session_destroy();
        }

        // Expire all of the user's cookies for this domain:
        // give them a blank value and set them to expire
        // in the past
        if (isset($_SERVER['HTTP_COOKIE'])) {
            $cookies = explode(';', $_SERVER['HTTP_COOKIE']);
            foreach($cookies as $cookie) {
                $parts = explode('=', $cookie);
                $name = trim($parts[0]);
                setcookie($name, '', time()-1000);
                setcookie($name, '', time()-1000, '/');
            }
            // Explicitly unset this cookie - shouldn't be redundant,
            // but it doesn't hurt to try
            setcookie('PHPSESSID', '', time()-1000);
        }

    }
4

1 回答 1

41

您不会使用与创建它相同的参数来删除它。用于session_get_cookie_params获得那些。为了便于携带,您应该通过 获取 cookie 的名称session_name。这是一个小脚本来做到这一点:

$params = session_get_cookie_params();
setcookie(session_name(), '', 0, $params['path'], $params['domain'], $params['secure'], isset($params['httponly']));
于 2010-10-21T16:02:03.043 回答