什么session_regenerate_id()啊

就像函數(shù)名稱所說(shuō)的那樣，它是一個(gè)函數(shù)，它將用新的ID替換當(dāng)前的會(huì)話ID，并保留當(dāng)前的會(huì)話信息。

它有什么作用？

它主要有助于防止會(huì)話固定攻擊。會(huì)話固定攻擊是惡意用戶試圖利用系統(tǒng)中的漏洞固定(設(shè)置)另一個(gè)用戶的會(huì)話ID(SID)的地方。這樣，他們將擁有原始用戶的完整訪問(wèn)權(quán)限，并且能夠執(zhí)行原本需要身份驗(yàn)證的任務(wù)。

為防止此類攻擊，請(qǐng)?jiān)谟脩魋ession_regenerate_id()成功登錄時(shí)(或?qū)τ诿總€(gè)X請(qǐng)求)使用用戶分配新的會(huì)話ID 。現(xiàn)在只有他具有會(huì)話ID，而您的舊(固定)會(huì)話ID不再有效。

我session_regenerate_id()什么時(shí)候應(yīng)該使用？

正如symbecean在下面的注釋中指出的，會(huì)話ID必須在身份驗(yàn)證狀態(tài)下的任何轉(zhuǎn)換都必須更改，并且只能在身份驗(yàn)證轉(zhuǎn)換時(shí)更改。

進(jìn)一步閱讀：

http://php.net/session_regenerate_id

https://www.owasp.org/index.php/Session_fixation

http://en.wikipedia.org/wiki/Session_fixation

https://wiki.php.net/rfc/precise_session_management

總結(jié)

以上是生活随笔為你收集整理的php session_regenerate_id,什么时候以及为什么我应该使用session_regenerate_id（）？的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。