关于session的使用

曾经只使用cookie,没有正式使用过原生的session,现在有一个项目要使用可以使用原生的session,这里有几个地方需要注意一下,记录在这里:

  1. 删除session时,不仅要删除服务器端的session内容和sessionid本身,还要从cookie中将sessionid删除
  2. 需要注意哪些操作需要在session_start()前完成,哪些操作需要在session_start()后来做
  3. session_destroy()可以删除服务器端的sessionid及其对应的session的所有内容; 但是他并不负责删除cookie中的sessionid,cookie中的sessionid还是需要明确通过setcookie来删除
  4. 如果只删除了服务器端的session信息,cookie中的sessionid没有删除,则session_start()时,发现cookie中已经有了sessionid,则服务器端的sessionid则使用cookie中的sessionid来初始化;这样的话,如果退出时不删除cookie中的sessionid,该sessionid被盗之后会有安全问题的;销毁session和删除cookie中的sessionid之间不需要关心先后顺序

留下评论

邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据