[PHP-users 25506] session_regenerate_id が古いセッションファイルを消さない件

haward haward99 @ yahoo.co.jp
2005年 4月 28日 (木) 15:20:05 JST


渡辺と申します。

セッションハイジャック対策に、session_regenerate_idなどを
使ってときどきセッションIDを変えようという作戦は多いと思います。

しかし、この関数、古いセッションファイルを消してくれないようです。
それじゃセッションハイジャック対策にならないような・・・!?

バグリポートを見たところ、次のような議論になってまして、
http://bugs.php.net/bug.php?id=32064
つまり、
「session_regenerate_id()しても古いセッションファイルが残るのは何でだ?」
「なんでそんな必要があるんだ?バグじゃない。仕様だ」
のような話になっているのですが、
どーも納得いきません。

どう思われます?>みなさま




PHP-users メーリングリストの案内