在从 php 会话注销期间取消设置 cookie 有啥意义？

Posted 2023-02-24

【中文标题】在从 php 会话注销期间取消设置 cookie 有啥意义？

【英文标题】：What is the point of unsetting the cookie during a logout from a php session?在从 php 会话注销期间取消设置 cookie 有什么意义？

【发布时间】：2011-10-19 05:01:53

【问题描述】：

我正在使用 php 开发一个 Web 应用程序，其中用户将能够拥有他或她自己的帐户，并且跟踪用户的会话存储在 mysql 数据库中。现在，在搜索了如何实现这一点的答案后，我发现很多人都喜欢使用session_destroy() 并取消设置 cookie。为什么 - session_destroy() 本身不够？甚至the PHP manual 说“为了完全终止会话，比如注销用户，还必须取消设置会话 ID。”

我的推理：在用户退出后，并且在离开之前碰巧又访问了您网站上的一个页面后，检查用户是否登录的 PHP 脚本将调用 session_start()，设置一个新的会话 cookie无论如何，对于用户。下面是它的样子：

// here we include some scripts and make some instances we'll need
require_once("database.php");
require_once("session.php");
$database_connection = new DB_Connection();
$session = new Session($database_connection);

// here a session cookie is sent to a user, even if he or she isn't logged in
session_start();

// finally we check if the user is logged in
$log_isLogged = false;
if(isset($_SESSION['member_id'], $_SESSION['username']))
    $log_member_id = $_SESSION['member_id'];
    $log_username = $_SESSION['username'];
    $log_isLogged = true;

当然，当用户知道这一事实并在可能设置新 cookie 之前离开站点时，这很好。但有些网站甚至会在您注销后直接将您重定向到新页面，从而产生一个新的会话 cookie - 撤消您刚刚所做的事情。

我的推理是否在某些方面存在缺陷，或者是否取消设置会话 cookie 并不重要？ 也许大多数开发人员只是认为取消设置至少不会有什么坏处？

我不是母语人士，因此对于任何拼写错误和语法错误，我提前道歉。

【参考方案1】：

（名称不佳）session_destroy() 函数仅从会话中删除数据。它确实不从浏览器中删除会话 cookie 并保留与会话关联的 session_id。 session_start() 仅在客户端请求中尚未提供新的 session_id 时才向客户端发出新的 session_id。您的代码容易受到称为session fixation 的攻击，恶意攻击者将在您的站点上启动会话以获取有效的 session_id，然后欺骗您站点的毫无戒心的用户使用攻击者的已知 session_id 登录。这可以通过向受害者发送 URL 中带有 session_id 的链接（如果您的站点接受这种方式）或各种其他方法来完成。受害者登录后，攻击者实际上也以同一用户身份登录。

为了防止会话固定攻击，您应该：

登录成功后，通过调用session_regenerate_id()向客户端发出一个全新的session_id。

在注销时，彻底销毁服务器和客户端上会话的每个工件。这意味着调用session_destroy()和使用setcookie()取消设置客户端cookie。

确保您的网站永远不会在 URL 中公开 session_id 或接受 URL 中提供的 session_id。

确保您的 session_id 足够长且随机，以至于攻击者实际上无法猜到它们。

确保您的网站不易受到cross site scripting 攻击，这将允许攻击者窃取已登录用户的有效 session_id。

确保您的登录是通过 https 进行的，并且会话 cookie 被标记为安全。所有与会话相关的通信都应通过 https 进行。客户端的 session_id 绝不能通过 http 发送，因为这会在传输过程中暴露它。

进一步参考：OWASP Top Ten page on session management

【讨论】：

好的，谢谢，我会调查一下 - 你知道我将如何防止这种情况发生吗？可能在每次浏览时更改 SID，或者至少在登录后直接更改？

我理解 1、3、4 和 5。现在，在我阅读它们之后，它们似乎很明显。但是，只要在服务器端删除所有数据，我仍然不明白取消设置 cookie 会有多大的不同 - 在 2 中。我的意思是，当不取消设置 cookie 时，由于 session_destroy()，所有数据仍然会在服务器端被销毁。当然，用户会在浏览器中留下一个 SID 作为 cookie，但服务器无法识别为已登录。这样做有什么危害？我会看看你提供给我的链接。非常感谢！！

@laph：将#2 视为购买二手手机。即使您放入自己的 SIM 卡，手机的 IMEI 也会保持不变，并且您的手机流量可能会被知道 IMEI 的人（例如卖给您手机的人）捕获。为确保您的会话不会被劫持，您必须更改与会话相关的所有内容，包括其 ID。

很好的解释！但我喜欢 session_destroy() 函数名:)