PHP在登录/退出时重新生成会话ID不起作用

Posted 2023-02-21

【中文标题】PHP在登录/退出时重新生成会话ID不起作用

【英文标题】：PHP Regenerating session ID on login / out not working

【发布时间】：2012-04-17 16:39:49

【问题描述】：

我无法让 php 的 session_regenerate_id() 在我正在开发的应用程序中工作。该应用程序使用（松散的）自制 MVC 框架并通过index.php 文件使用.htaccess 重定向所有请求。

我正在尝试在注销时重新生成会话 ID，但它无法正常工作。

这是我的注销控制器中的一些代码 - expired 变量是对会话超时的检查：

    session_regenerate_id(true);        
    if(isset($_SESSION['expired']))
    
        $this->registry->template->expired = true;
    

    session_unset();
    session_destroy();

同样相关的是 index.php 文件开头的代码：

    session_cache_expire(20);
    session_start();
    session_name("TMU");
    //session_regenerate_id();

我在每页底部显示session_id() 的结果，以查看它包含的内容以测试它是否已重新生成。

但是，当您注销时会话 ID 不会改变。当您再次登录时（即使使用另一个帐户），会话 ID 也是相同的。

您会注意到 index.php 文件中被注释掉的第四行 - 如果我取消注释该行，ID 似乎会在每个页面上重新生成，因为它应该如此。但是，当我再次注释掉该行时，会话 ID 再次是我在索引文件中取消注释该行之前的原始 ID...

我只是想知道如何让 session_regenerate_id() 工作。似乎它只是没有“提交”更改后的 ID。我试过使用session_commit()，但我不明白它是如何完全工作的，当我试图破坏会话时它给了我一个错误。

PHP 5.3.10 和 Apache 2.2.21

【参考方案1】：

在多次重温这个话题后，我想通了。有两个问题。

session_regenerate_id() 必须在显示任何 html 输出和/或发送标头之前调用。 （它需要作为第一个函数之一调用，就像session_start()）。 订单很重要。 session_name("TMU") 需要在 session_start() 之前调用才能获得所需的结果 - 我之前没有发现。

基本上发生在我身上的事情是在session_start() 之后调用session_name("TMU") 导致它设置了两个会话ID cookie——两个会话——一个名为TMU，另一个只是默认的PHPSESSID。更改顺序解决了我的所有问题并重新生成 ID/销毁旧会话现在按预期工作。

对于在执行此操作时遇到问题的任何人，我建议您回显 $_SESSION 和 $_COOKIE 数组，以查看您的特定应用程序中发生了什么。