曾经只使用cookie,没有正式使用过原生的session,现在有一个项目要使用可以使用原生的session,这里有几个地方需要注意一下,记录在这里:
- 删除session时,不仅要删除服务器端的session内容和sessionid本身,还要从cookie中将sessionid删除
- 需要注意哪些操作需要在session_start()前完成,哪些操作需要在session_start()后来做
- session_destroy()可以删除服务器端的sessionid及其对应的session的所有内容; 但是他并不负责删除cookie中的sessionid,cookie中的sessionid还是需要明确通过setcookie来删除
- 如果只删除了服务器端的session信息,cookie中的sessionid没有删除,则session_start()时,发现cookie中已经有了sessionid,则服务器端的sessionid则使用cookie中的sessionid来初始化;这样的话,如果退出时不删除cookie中的sessionid,该sessionid被盗之后会有安全问题的;销毁session和删除cookie中的sessionid之间不需要关心先后顺序