FuelPHP の Session::rotate() はローテート前のセッションファイルを削除しない
セッション変数をすべて削除し、rotated_session_id という変数だけを登録する
$ test_unsession.php /tmp/testsid_866f1e60e6903ea7327e6ba42be61df2
Array
(
[rotated_session_id] => e40d112a27d3548ee407fd9cfd434d12
)なので、「古いセッションIDで参照された」ということを知ることができる。
ローテートしても1回だけ追跡する? のでそのままだとセッションハイジャックの防止にならない
この機能を無効にはできないっぽいので、次のように死んでよみがえる
<? // Session::rotate(); $session = Session::get(); Session::destroy(); Session::create(); Session::set($session); ?>
