浏览器关闭时,$ _SESSION cookie不会过期

时间:2013-08-26 22:06:35

标签: php session jquery-mobile cookies

所以这里是我的代码,如果记住我被点击,它会发送一年的过期时间。 如果没有,那么它将session_set_cookie_params()设置为0.这意味着它应该在浏览器关闭时销毁会话。但是出于某种原因,它不能像那样工作。

这是我的登录页面:

session_start();
if (isset($_POST['username']) && isset($_POST['password'])) {

    if (($_POST['username'] == $user) && ($_POST['password'] == $pass)) {

    if (isset($_POST['rememberme'])) {
        $_SESSION['username'] = $user;
        $_SESSION['start'] = time();
        $_SESSION['expire'] = $_SESSION['start'] + (60*60*24*365);
}
    else{
        $_SESSION['username'] = $user;
        session_set_cookie_params(0);
    }
    header('Location: index.php');

} else {
    $p->addContent('<font color = red>Wrong</font>');
}
}

这是我的索引页面:

session_start();


if (isset($_POST['rememberme'])){
    $user = $_SESSION['username'];

}
else {
    $user = $_SESSION['username'];
    session_set_cookie_params(0);
}

if ($user == null) {
    $user = 'Guest';
    $logout = $p->header()->addButton('Login', 'login.php', 'a', 'home', false, false, true);
    $logout->rel('external');
}   
else{
    $logout = $p->header()->addButton('Logout', 'logout.php', 'a', 'delete', false, false, true);
    $logout->rel('external');
}

2 个答案:

答案 0 :(得分:2)

这很简单。在调用session_set_cookie_params(0);后调用它时,session_start();不会影响您的会话。

只需将您的代码重新排序为以下内容:

if (isset($_POST['username']) && isset($_POST['password'])) {
    if (($_POST['username'] == $user) && ($_POST['password'] == $pass)) {
        if (isset($_POST['rememberme'])) {
            session_start();
            $_SESSION['username'] = $user;
            $_SESSION['start'] = time();
            $_SESSION['expire'] = $_SESSION['start'] + (60*60*24*365);
        } else {
            session_set_cookie_params(0);
            session_start();
            $_SESSION['username'] = $user;
        }
    header('Location: index.php');
    } else {
        session_start();
        $p->addContent('<font color = red>Wrong</font>');
    }
} else {
    session_start();
}

编辑:

session_set_cookie_params仅适用于当前脚本并且每次使用session_start()时都必须再次调用,这也是值得的。设置一个cookie以表明是否应该使用它可能是有用的。

答案 1 :(得分:1)

从您的代码开始,在任何情况下都不会调用session_set_cookie_params()。因此我建议这样做:

session_set_cookie_params(0);
session_start();

if (isset($_POST['username']) && isset($_POST['password'])) {
...

注意,总是为会话cookie调用session_set_cookie_params()实际上很有用。

  

在每个用户级别更改时生成新的会话ID

为了保护您的应用程序免受攻击者攻击,绝对需要在每次更改用户角色后更改sessionID:

  • 匿名用户 - &gt;登录用户
  • 登录用户 - &gt;匿名用户
  • 登录用户 - &gt;管理登录用户
  • ...

因此,如果用户登录或注销,请重新生成会话ID ,如下所示:

session_regenerate_id( true );

查看OWASPPHP security cheat sheet

会话文件定期删除

使用PHP的标准会话策略,会话将映射到常规文件,即所谓的会话文件。如果用户关闭了他的浏览器,则会话文件将保留在文件系统中。很可能,操作系统将每天删除一次会话文件(到晚上)。

因此,如果用户在一天后回来,则sessionID cookie指向会话文件,该文件可能不再可用

公共电脑的情况

另外想象一下在公共PC上运行的浏览器:如果用户关闭了他的浏览器并且新用户登录,则其他用户会自动登录

相关问题
最新问题