我无法获取 PHP 的 session_regenerate_id()在我正在开发的应用程序中工作。该应用程序使用(松散的)自制 MVC 框架,并通过 index.php 文件使用 .htaccess 重定向所有请求。
我正在尝试在注销时重新生成 session ID,但它无法正常工作。
这是我的注销 Controller 中的一些代码——expired 变量是对 session 超时的检查:
session_regenerate_id(true);
if(isset($_SESSION['expired']))
{
$this->registry->template->expired = true;
}
session_unset();
session_destroy();
同样相关的是 index.php 文件开头的代码:
session_cache_expire(20);
session_start();
session_name("TMU");
//session_regenerate_id();
我在每个页面的底部回显 session_id() 的结果,以查看它包含的内容以测试它是否已重新生成。
然而,当您注销时, session ID 不会改变。当您再次登录时(即使使用另一个帐户), session ID 是相同的。
您会注意到 index.php 文件中被注释掉的第四行 - 如果我取消注释该行,则 ID 似乎会在每个页面上重新生成。但是,当我再次注释掉该行时, session ID 再次成为我在索引文件中取消注释该行之前的原始 ID...
我只是想知道如何让 session_regenerate_id() 工作。似乎它只是没有“提交”更改后的 ID。我试过使用 session_commit() 但我不明白它是如何完全工作的,当我试图破坏 session 时它给我一个错误。
PHP 5.3.10 和 apache 2.2.21
最佳答案
在多次重温这个话题之后,我已经弄明白了。有两个问题。
session_regenerate_id()必须在显示任何 HTML 输出和/或发送 header 之前调用。 (它需要作为第一个函数调用,就像session_start()一样)。- 订单很重要。
session_name("TMU")需要在session_start()之前调用才能获得所需的结果 - 我之前没听清楚。
基本上发生在我身上的事情是在 session_start() 导致它设置两个 session ID cookie 之后调用 session_name("TMU") - 两个 session - 一个名为TMU 其他只是默认的PHPSESSID。更改顺序解决了我所有的问题并重新生成 ID/销毁旧 session 现在按预期工作。
对于执行此操作时遇到问题的任何人,我建议您回显 $_SESSION 和 $_COOKIE 数组以查看您的特定应用程序中发生了什么。
关于PHP 在登录/注销时重新生成 session ID 不起作用,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10003212/