为了解决Session Fixation 的问题,想要在用户登录后清除当前的session 后在重新分配新的session。写了如下代码测试。
echo "登?前".session_id();
session_unset();//???存的session
session_destroy();//?除服?器上的session文件
session_start();
$_SESSION['Login'] = md5("c04sji4jo");
echo "登?后".session_id();
为什前后的session id 还是一样的?
见 session_regenerate_id 函数说明
session_regenerate_id()
