【发布时间】:2013-02-18 11:05:40
【问题描述】:
我有一个基于 PHP 会话的登录系统。当用户单击注销链接时,脚本会调用session_destroy() 函数并且用户注销(服务器上带有用户数据的会话文件被删除)。当用户刚刚关闭浏览器时,他也会注销(cookie 在关闭时过期),但包含用户数据的会话文件仍保留在服务器上。
那么从安全的角度来看,是否存在任何漏洞?如果是这样,我必须做些什么来防止它?
【问题讨论】:
-
您能否更具体地说明您的安全问题?根据您的回答,
session_destroy()可能是矫枉过正,或者建议可能是完全避免在会话中存储信息。 -
我担心旧的会话文件在某种程度上会被攻击者用来重置该会话。
-
您需要依赖 21 世纪的网络浏览器,当浏览器关闭时,它们应该清除会话 cookie。