PHP在登录/退出时重新生成会话ID不起作用
Posted
技术标签:
【中文标题】PHP在登录/退出时重新生成会话ID不起作用【英文标题】:PHP Regenerating session ID on login / out not working 【发布时间】:2012-04-17 16:39:49 【问题描述】:我无法让 php 的 session_regenerate_id()
在我正在开发的应用程序中工作。该应用程序使用(松散的)自制 MVC 框架并通过index.php
文件使用.htaccess
重定向所有请求。
我正在尝试在注销时重新生成会话 ID,但它无法正常工作。
这是我的注销控制器中的一些代码 - expired 变量是对会话超时的检查:
session_regenerate_id(true);
if(isset($_SESSION['expired']))
$this->registry->template->expired = true;
session_unset();
session_destroy();
同样相关的是 index.php 文件开头的代码:
session_cache_expire(20);
session_start();
session_name("TMU");
//session_regenerate_id();
我在每页底部显示session_id()
的结果,以查看它包含的内容以测试它是否已重新生成。
但是,当您注销时会话 ID 不会改变。当您再次登录时(即使使用另一个帐户),会话 ID 也是相同的。
您会注意到 index.php 文件中被注释掉的第四行 - 如果我取消注释该行,ID 似乎会在每个页面上重新生成,因为它应该如此。但是,当我再次注释掉该行时,会话 ID 再次是我在索引文件中取消注释该行之前的原始 ID...
我只是想知道如何让 session_regenerate_id()
工作。似乎它只是没有“提交”更改后的 ID。我试过使用session_commit()
,但我不明白它是如何完全工作的,当我试图破坏会话时它给了我一个错误。
PHP 5.3.10 和 Apache 2.2.21
【问题讨论】:
【参考方案1】:在多次重温这个话题后,我想通了。有两个问题。
session_regenerate_id()
必须在显示任何 html 输出和/或发送标头之前调用。 (它需要作为第一个函数之一调用,就像session_start()
)。
订单很重要。 session_name("TMU")
需要在 session_start()
之前调用才能获得所需的结果 - 我之前没有发现。
基本上发生在我身上的事情是在session_start()
之后调用session_name("TMU")
导致它设置了两个会话ID cookie——两个会话——一个名为TMU,另一个只是默认的PHPSESSID。更改顺序解决了我的所有问题并重新生成 ID/销毁旧会话现在按预期工作。
对于在执行此操作时遇到问题的任何人,我建议您回显 $_SESSION 和 $_COOKIE 数组,以查看您的特定应用程序中发生了什么。
【讨论】:
以上是关于PHP在登录/退出时重新生成会话ID不起作用的主要内容,如果未能解决你的问题,请参考以下文章