我正在运行一个https站点并想在php.ini中打开这些以提高安全性:session.cookie_httponly=1session.cookie_secure=1我可以在网上找到很多关于此的信息，但没有关于打开它时旧sessionID的持久性的信息。打开此选项是否会导致自动注销用户，因为php现在需要安全cookie，但登录用户没有那些……就在切换之后？ 最佳答案 有趣的是，在我的职业生涯中，我已经为数百个使用HTTPS的网站启用了此功能，但从未让所有人退出。这些.ini设置通常应用于新的sessioncookie，secur

在用户进入网站的地方，它会发送一个默认语言，同时它会强制用户从列表中选择一种语言......当用户选择一种语言时，它会设置$_SESSION['language']=$_POST['lg'];同时，我为这个session设置了另一个$_SESSION['sestime']=time();我可以这样做:if(isset($_SESSION['sestime'])&&(time()-$_SESSION['sestime']>600)){session_unset();session_destroy();header("Location:$sred");exit;}$_SESSION['se

我正在尝试创建简单的服务器端验证，这是我的方法publicfunctioncreate(){$name=$_POST['name'];session_start();unset($_SESSION['errors']);$count=$this->model->checkIfUserExists($name);if($count>0){$_SESSION['errors']=array('message'=>'UserAlreadyExists','variables'=>array('name'=>$_POST['name'],'password'=>$_POST['password

session_id($randomString)和session_regenerate_id()之间有什么明显区别？两者似乎都改变了sessionID:session_regenerate_id()willreplacethecurrentsessionidwithanewone,andkeepthecurrentsessioninformation.session_id()isusedtogetorsetthesessionidforthecurrentsession.如果我做对了，session_regenerate_id()会创建一个新的session文件并复制数据，并带有删除

在我的laravel项目中，当我点击注销时，如果session超时，它会显示token未匹配错误。但我想要它进入登录页面。如何解决这个问题。在其他页面中，当session超时时，它会转到登录页面，我希望同样用于注销。在我的网站中，所有其他页面都在以下身份验证中间件下，这可能是其他页面正常工作的原因。Route::group(['middleware'=>['auth','changepassword']],function(){} 最佳答案 您可以将注销路由添加到VerifyCsrfToken异常列表:protected$excep

我之前有一些关于使用memcached进行session存储的想法，但得出的结论是，如果memcached池中的一个或多个服务器即将停机，这将是不够的。混合版本是为了让主数据库(mySQL)免于读取导致的负载，这将是制定一个函数，该函数会尝试从缓存池中获取数据，如果失败则从数据库中获取数据。经过深思熟虑，我开始考虑将APC缓存用于session相关数据。如果我们的Web服务器出现故障，session将以任何一种方式丢失，因此将它们存储在本地APC或本地主机memcached服务器中可能不是那么糟糕吗？你的经历是什么？ 最佳答案 一般

在选择用于session哈希的正确算法时，大小是否重要。我最近读了这个article它建议使用漩涡池为sessionID创建哈希。Whirlpool生成一个128个字符的哈希字符串，这是否太大了？计划是将session哈希存储在数据库中。使用64个字符字段(sha256)、96个字符字段(sha384)或128个字符字段(whirlpool)之间有很大区别吗？最初为whirlpool提出的争论之一是速度与其他算法相比，但从速度结果来看sha384并不太公平。可以选择截断散列以使其小于128个字符。我确实修改了原始代码片段，以允许根据需要更改算法。更新:有一些关于字符串被散列的讨论，所以

我正在开发一个基于网络的用户界面，它可以绘制数据库中的一些数据并将其显示给用户。从字面上看，可能会生成数百万个不同的图形，所以我的想法是动态生成图形，将其保存到临时文件，为网页提供服务，并在一定时间后最终删除图像。因此，我想做的是将已生成图像的路径存储在$_SESSION中，以便在session被销毁时可以删除这些文件。在PHP中有没有办法执行给定的函数(在这种情况下将负责删除上述文件)当session被销毁时，无论何时发生？ 最佳答案 是的，参见session_set_save_handler，特别是$destroy和$gc参数。

我有一个网站，它在给定的时间段内对用户进行身份验证，并根据任何后续页面请求延长时间间隔。我想知道如何在不使用js.alert()的情况下通知用户他们的时间即将到期，但仍可访问。我见过一些网站，内容会从顶部滑入，不会干扰用户，但仍然很明显。我看到的问题是它可能不会更新屏幕阅读器的缓冲区，有辅助功能需求的用户不会意识到这一点。建议？ 最佳答案 以可访问的方式提醒用户的正确方法应该符合WAI-ARIA(可访问的富互联网应用程序)规范。现在，文档只是您实现的技术部分-与所有Internet技术一样，它在屏幕阅读器和其他辅助工具中的实现差异很

我正在为我的网站实现用户身份验证系统。我正在使用一个开源库，它通过创建一个用户对象并将该对象存储在我的phpSESSION变量中来维护用户信息。这是存储和访问该信息的最佳方式吗？我发现访问用户变量有点麻烦，因为我必须先创建一个对象来访问它们:$userObj=$_SESSION['userObject'];$userObj->userId;我通常会存储用户ID，而不是像这样访问用户ID:$_SESSION['userId'];将一堆用户数据存储为对象而不是将它们存储为单独的SESSION变量是否有优势？ps-该库似乎还在用户对象中存储了一些变量(id、用户名、加入日期、电子邮件、最后一