在浏览通过PHP各种用户注销功能,我总是遇到session_destory()
到远程会话变量用于特殊用途,但是他们不使用setCookie()
删除用户的PHP SESSIONID
删除用户的会话实存后注销
的PHP文档明确指出:
为了完全杀掉会话,就像登录用户一样,会话ID也必须是未设置的。如果使用cookie传播会话标识(默认行为),则必须删除会话cookie。 setcookie()可用于此目的。
我试图在Firefox跟踪的cookie,并使用session_destroy()
,继续保持PHP SESSIONID
的cookie,则用户下次登录时,所用的相同SESSIONID
ID。
如果我无法删除SessionID Cookie,那么在用户机器退出登录后远程登录会话ID Cookie并不总是安全的吗?