标签: php security
我知道使用session_regenerate_id()是一种好习惯。我听说有些人说它应该广泛使用,其他人说它应该只用于登录/注销。后者有什么理由吗?运行该功能是一个昂贵的过程,在没有必要时应该避免吗?
编辑:最重要的是,我真的想知道你答案的理由。
答案 0 :(得分:1)
登录,注销或获取管理访问权限后,应重新生成会话ID。这个Regenerate PHP session id也很有用