揮発性のメモ2

http://d.hatena.ne.jp/iww/

hoge

FuelPHP の Session::rotate() はローテート前のセッションファイルを削除しない

FuelPHP の Session::rotate() はローテート前のセッションファイルを削除しない
セッション変数をすべて削除し、rotated_session_id という変数だけを登録する

$ test_unsession.php /tmp/testsid_866f1e60e6903ea7327e6ba42be61df2
Array
(
    [rotated_session_id] => e40d112a27d3548ee407fd9cfd434d12
)

なので、「古いセッションIDで参照された」ということを知ることができる。
ローテートしても1回だけ追跡する? のでそのままだとセッションハイジャックの防止にならない


この機能を無効にはできないっぽいので、次のように死んでよみがえる

<?

//  Session::rotate();
    $session = Session::get();
    Session::destroy();
    Session::create();
    Session::set($session);
?>