我创建的许多网站都将用户数据存储在 session 中以便快速访问。问题是,如果管理员选择删除或禁用用户的帐户,只要他们拥有 session cookie,从技术上讲他们仍然处于“登录状态”。
虽然有一些解决方案,例如在用户进行任何更改之前对用户进行数据库检查或在登录验证功能中添加数据库检查,但这些解决方案的效率低于我想要的。
所以我的问题是,有没有办法根据 session 中存储的数据(例如用户 ID)从另一个用户那里关闭该用户的 session ?如果不是,什么时候在没有数据库验证的情况下在内部使用 session 数据会被认为是不安全的?
我应该注意,这个问题是在假设我将使用内置 $_SESSION 变量而不是某种自定义数据库实现的情况下提出的,因为数据库 session 很容易追踪。
我试图避免使用数据库,因为将 session 数据保存在本地服务器上比每次要访问 session 数据时增加连接到外部数据库的延迟要有效得多。
最佳答案
尝试使用以下实现您正在寻找的内容:
获取所有 session :$_SESSION List in PHP
如何终止特定 session :How to destroy a specific PHP session
关于php - 帐户删除后关闭 session ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15006319/