渡辺と申します。 セッションハイジャック対策に、session_regenerate_idなどを 使ってときどきセッションIDを変えようという作戦は多いと思います。 しかし、この関数、古いセッションファイルを消してくれないようです。 それじゃセッションハイジャック対策にならないような・・・!? バグリポートを見たところ、次のような議論になってまして、 http://bugs.php.net/bug.php?id=32064 つまり、 「session_regenerate_id()しても古いセッションファイルが残るのは何でだ?」 「なんでそんな必要があるんだ?バグじゃない。仕様だ」 のような話になっているのですが、 どーも納得いきません。 どう思われます?>みなさま