我的一个朋友以这种方式开始他的会话.
<?php
session_start();
session_regenerate_id();
session_destroy();
unset($_SESSION);
session_start();
?>
是否有任何安全优势,反对会话劫持等.
只是想知道为什么与通常的session_start();
你需要的只是
session_start()
session_regenerate_id()
这将启动会话并在每个请求上更改其ID.但是,这不会阻止会话劫持.如果攻击者可以获取用户的会话cookie并在用户可以之前将请求发送回服务器,则攻击者将获得一个全新的会话ID,并且用户将留下无效的会话令牌并被有效注销.