0
我有一個基於PHP會話的登錄系統。當用戶點擊註銷鏈接時,腳本調用session_destroy()
函數並且用戶註銷(刪除用戶數據的服務器上的會話文件被刪除)。當用戶剛剛關閉瀏覽器時,他也會註銷(Cookie關閉時過期),但帶有用戶數據的會話文件仍保留在服務器上。安全註銷PHP會話
那麼從安全角度來看是否存在任何漏洞?如果是這樣,爲了防止它我需要做些什麼?
我有一個基於PHP會話的登錄系統。當用戶點擊註銷鏈接時,腳本調用session_destroy()
函數並且用戶註銷(刪除用戶數據的服務器上的會話文件被刪除)。當用戶剛剛關閉瀏覽器時,他也會註銷(Cookie關閉時過期),但帶有用戶數據的會話文件仍保留在服務器上。安全註銷PHP會話
那麼從安全角度來看是否存在任何漏洞?如果是這樣,爲了防止它我需要做些什麼?
我想你可以使用session.gc properties刪除舊的會話文件。
您能更具體地瞭解您的安全問題嗎?根據你的回答,'session_destroy()'可能是矯枉過正的,或者建議可能是爲了避免在會話中存儲信息。 – 2013-03-04 11:17:17
我很擔心攻擊者可能會以某種方式使用舊會話文件重置該會話。 – arnisritins 2013-03-04 11:26:02
您需要依靠21世紀的網絡瀏覽器,在瀏覽器關閉時應該清理會話cookie。 – Kyborek 2013-03-04 12:39:14