在注册的时候，我在纠结怎么设置用户密码:让用户选择。如果我这样做，我必须执行一些标准(长度、弱点、可能涉及正则表达式等)当你选择这种方式时你通常会做什么，为什么？是否有适用于PHP的库？自动为用户生成密码并将其通过电子邮件发送到他们提供的电子邮件地址。如果没有密码，他们就无法登录，所以这也是电子邮件验证。问题是密码可能太难让用户记住。如果我允许他们将它改成更简单的东西，那就违背了我最初为他们选择它的目的。我还担心在电子邮件中传输密码(作为普通的未散列密码)的行为。我倾向于第二种，但在选择之前更希望得到更明智的答案。可能有些事情我没有注意，比如用户便利性和其他技术问题。你是做什么的？编辑

我想知道是否可以在不锁定的情况下读取$_SESSION属性。目前，session_start()锁定了SESSION，这意味着其他PHP进程将等待它被解锁。但是，有些进程只是想获取一些$_SESSION变量，而不是写入它们。是否可以实现一些不锁定SESSION的函数，例如session_get(string$id)？此外，一旦用户登录到同一帐户，就可以在浏览器之间共享SESSION，例如，使用session_id('shared_vars_of_'.$userid)。但是，这样安全吗？这是灰心吗？谢谢，努诺 最佳答案 就个人而言，我

标题几乎说明了一切。cookies对我来说似乎有一些好处；不过，我会等着看别人怎么说。此外-假设cookie更好，可以做些什么来更好地通过GET变量传递session？具体来说，我正在考虑PHP；但是，这应该普遍适用。 最佳答案 与GETvar相比，将其存储在cookie中至少有一个优势，即sessionID的URL永远不会被任何用户添加为书签。 关于php-将sessionID存储在cookie中是否比getvar更好？，我们在StackOverflow上找到一个类似的问题：

背景:我正处于一个基于PHP5.3的新项目的起点。我刚刚开始研究以一种最初让我将session保存到数据库的方式处理session的方法。我会将所有session管理分离到一个单独的库中，以便于透明地迁移到memcached、单独的session数据库服务器，或任何当时最好的解决方案。虽然我对什么是好的方法感到有点困惑-关于如何处理session取决于PHP版本，网上有很多不同的想法，我读得越多，我就越困惑。问题:以下是我认为最合适的选项。我应该使用哪一个，为什么？是否还有其他应考虑的替代方案？选项1:使用session_set_save_handler并为每个session事件创建自

我正在使用TankAuth用于我的CI1.7.3应用程序中的用户管理。一切正常，但我正在尝试设置一个flash_message以在用户注销时显示。问题是$this->tank_auth->logout();函数破坏了session。我已将TankAuth库中的注销功能修改为如下所示:functionlogout(){$this->delete_autologin();//Seehttp://codeigniter.com/forums/viewreply/662369/asthereasonforthenextline$user_session_data=array('user_id'

有没有一种方法可以在对象的上下文中执行PHP5.3中的闭包？classTest{public$name='John';functiongreet(){eval('echo"Hello,".$this->name;');call_user_func(function(){echo"Goodbye,".$this->name;});}}$c=newTest;$c->greet();eval()可以正常工作，但是call_user_func将无法访问$this。(不在对象上下文中时使用$this)。我现在将“$this”作为参数传递给闭包，但这并不是我所需要的。

我在php手册中阅读了session漏洞并遇到了这个问题:我需要我的服务器/代码在成功验证用户后生成sessionID。现在，我不确定php何时设置sessionID。我的php应用程序类似于MVC，一切都通过index.php，在index.php的顶部我有session.start()因为每个页面(登录后)都使用session。这是漏洞风险吗？或者，我应该这样说:这是否意味着在第一次到达我的站点时，甚至在登录之前，服务器是否为该用户设置了一个sessionID？session.start()是否设置用户ID，或者是在我设置第一个session变量之前未生成sessionID，即。直

我已经看到许多网站放弃使用PHP中默认的session处理来使用它们自己的方法，但我仍然不知道为什么。他们肯定在运行PHP，我认为人们设计自己的方法毫无意义。是否存在某种我不知道的限制，或者仅仅是为了让他们可以控制一切？(我试着问过他们，是的，他们要么没有联系他们的方式，要么他们“在某处看到一些反对使用PHPsession的东西”，但不知道它到底是什么) 最佳答案 默认session存储在硬盘驱动器上，通常在/tmp目录中。当您的站点变大时，一台计算机不足以运行它。因此，人们求助于负载平衡(以及其他解决方案)。负载均衡器有效地在计算

通常，我会通过在每次页面加载时在php中执行查询来保存所有用户事件、页面浏览量和所有值。现在我正在考虑将所有这些存储为session值，并且在session结束时执行查询。但是，我不知道如何在php中处理这个“session结束”事件。我考虑过在session超时之前存储所有session值的后台进程，但我对php中的多线程方法一无所知，尽管我听说可以进行一些规避。我想确定用户在没有用户的情况下是否处于非事件状态触发(如页面加载)并将所有session值保存在session结束，超时前。这将节省数据库引擎的一些工作量，方式如下:一个用户查看了很多页面，我增加了session中的值，而不

index页面上的按钮:$('#killsession').click(function(){$.get('killsession.php');alert("OK");});killsession.php:使用此按钮终止session后，index上任何与session相关的函数仍然有效(session变量仍然设置/存在)。例如，我有一个计数session变量，当我单击某个按钮时该变量会递增。此计数变量在终止session后不会丢失其计数位置。是否可以使用JQuery按钮终止session？ 最佳答案 所有PHPsession项在页