我想限制 phpsessid cookie 仅在管理员 session 期间用于安全连接,但允许 phpsessid 用于普通用户的不安全连接。每次运行脚本时都需要在调用 session_start() 之前调用 session_set_cookie_params,但我需要先调用 session_start() 来检查告诉我用户是否为管理员的 session 数据。
我想拥有只能通过 https(管理面板、登录等)访问的页面,以及网站的其余部分(文章等),普通用户可以通过正常连接访问,管理员只能通过安全连接访问。这样管理员的 sid 永远不会暴露;公开 sid 并仅依靠 IP、用户代理等检查是不够的。重要的交易将受到密码保护,但不可能对所有交易都使用密码,这会很烦人。
最佳答案
在 PHP 中你设置了 session.use_only_cookies和 session.cookie_secure配置选项。这可以在运行时或在您的 php.ini 中完成。 cookie_secure 是一个糟糕的名字,但它告诉客户端这个 cookie 必须始终通过 https 传输。
关于php - 如何限制 PHPSESSID cookie 为 https?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11146974/