Dies ist eine sehr spezifische Frage zum genauen Anrufen session_regenerate_id()
. Besteht zwischen dem Aufruf von session_regenerate_id()
vor oder nach dem Festlegen eines sicheren Werts in der Sitzung ein Unterschied oder ein Sicherheitsrisiko?Sitzungs-ID nach oder vor dem Festlegen eines sicheren Werts neu generieren
Bevor Wert einstellen:
if ($login_success) {
session_regenerate_id(true);
$_SESSION['login_status'] = 'logged_in';
}
oder nach dem Wert in der Sitzung Einstellung:
if ($login_success) {
$_SESSION['login_status'] = 'logged_in';
session_regenerate_id(true);
}
Ihre Antwort ist vollkommen richtig und ich bin dankbar für die Eingabe, aber es adres das eigentliche Problem nicht. Um Verwirrung für andere Programmierer zu vermeiden, änderte ich die Antwort. Kein Wortspiel beabsichtigt (Ich habe Ihre Antwort upvoted). – Nitin