【问题标题】:Secure logout with PHP sessions使用 PHP 会话安全注销
【发布时间】:2013-02-18 11:05:40
【问题描述】:

我有一个基于 PHP 会话的登录系统。当用户单击注销链接时,脚本会调用session_destroy() 函数并且用户注销(服务器上带有用户数据的会话文件被删除)。当用户刚刚关闭浏览器时,他也会注销(cookie 在关闭时过期),但包含用户数据的会话文件仍保留在服务器上。

那么从安全的角度来看,是否存在任何漏洞?如果是这样,我必须做些什么来防止它?

【问题讨论】:

  • 您能否更具体地说明您的安全问题?根据您的回答,session_destroy() 可能是矫枉过正,或者建议可能是完全避免在会话中存储信息。
  • 我担心旧的会话文件在某种程度上会被攻击者用来重置该会话。
  • 您需要依赖 21 世纪的网络浏览器,当浏览器关闭时,它们应该清除会话 cookie。

标签: php security session


【解决方案1】:

我认为您可以使用session.gc properties 删除旧会话文件。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2013-07-22
    • 2017-01-26
    • 2023-03-31
    • 2012-08-04
    • 2012-05-23
    • 2015-02-13
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多