为什么始终建议在创建用户会话之前使用 session_regenerate_id()。 根据我的看法,一旦创建了用户会话ID,就应该使用session_regenerate_id(),我们需要重新生成它,以便减轻黑客的会话固定攻击。
请建议!!
答案 0 :(得分:1)
我不确定你从哪里得到推荐,但是session_regenerate_id手册显示它在session_start之后被使用,所以你的假设是正确的。
答案 1 :(得分:0)
从我读过的所有内容中,必须先调用session_start()。主要思想是每次都创建一个新的id,这样如果一个黑客在同一个网络上,他们将没有静态ID来进入你的网站。这是如何做的一个很好的解释。
这是一个很好的答案,比视频更详细: