お世話になります。
こちらのページによると、
再生成した時点のタイムスタンプを古いセッションデータに記録し、数分後からそのセッションデータへのアクセスを拒否する。
とありますが、動画サイトのように、数分以上ページ遷移がない、更新がない、PHPが走らない(ように見える)ページの場合、どのようにセッションIDの変更や管理を行っているのでしょうか。
長時間操作がない場合、強制ログアウトするサイトもありますが、そうではないものは、どうしているのかが分かりません。
私の場合、HTTPS通信にしたうえで、
PHP
1if(isset($_SESSION['destroyed']) 2 && $_SESSION['destroyed'] < time() - 3600) 3 { 4 $_SESSION=Array(); 5 print('長時間、アクセスありませんでした。'); 6 7 print('<a href="'.$link_login.'">こちらから戻って下さい。</a>'); 8 exit(); 9} 10$_SESSION['destroyed'] = time(); 11session_regenerate_id();
という具合に、セッションIDの有効期限を引き延ばすしか考えつかず、他に安全策があれば知りたいです。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/01/13 07:37