Sitzungs-ID nach oder vor dem Festlegen eines sicheren Werts neu generieren

Question

Dies ist eine sehr spezifische Frage zum genauen Anrufen session_regenerate_id(). Besteht zwischen dem Aufruf von session_regenerate_id() vor oder nach dem Festlegen eines sicheren Werts in der Sitzung ein Unterschied oder ein Sicherheitsrisiko?

Bevor Wert einstellen:

if ($login_success) { 

    session_regenerate_id(true); 
    $_SESSION['login_status'] = 'logged_in'; 

} 

oder nach dem Wert in der Sitzung Einstellung:

if ($login_success) { 

    $_SESSION['login_status'] = 'logged_in'; 
    session_regenerate_id(true); 

} 

Answer 1

So funktioniert es, session_regenerate_id() erstellt und ändert die Sitzungs-ID, überträgt die Sitzung in die neue Datei und sendet den Cookie aus. Wenn Sie true als Argument übergeben, wird auch die alte Sitzungsdatei gelöscht. Wenn Sie das Argument weglassen, wird es verlassen.

Also, ob Sie

session_regenerate_id(true); 
$_SESSION['login_status'] = 'logged_in'; 

oder

$_SESSION['login_status'] = 'logged_in'; 
session_regenerate_id(true); 

verwenden ist es das gleiche: info neu geschrieben in die neue Datei und das Cookie gesendet. Ich würde empfehlen, immer true als Argument zu verwenden, um alte Session-Hijacking zu vermeiden.

Answer 2

Sie sind effektiv gleich; Sitzungsinformationen werden nur dann beibehalten, wenn session_write_close() aufgerufen wird (oder implizit, wenn das Skript beendet wird). So würden die Daten für die alte ID nicht erhalten bleiben.