Будет ли идентификатор сессии автоматически перегенерироваться время от времени?

Question

При первом вызове session_start() будет создан новый сеанс. Позже, когда session_start вызывается снова, сеанс будет возобновлен с использованием идентификатора сеанса в файле cookie (или из запроса GET / POST, если на сервере включено session.use_trans_sid), отправленного клиентом.

Для повышения безопасности новый идентификатор сеанса может время от времени генерироваться для пользователя, даже если он / она больше не выходят из системы или не выполняют вход.

Такое поведение происходит автоматически, что означает, что это настройка по умолчанию на большинстве веб-серверов? Или это требует ручного кодирования?

Answer 1

Это не происходит автоматически.

Вы должны использовать session_regenerate_id().

session_regenerate_id () заменит идентификатор текущего сеанса новым и сохранит информацию о текущем сеансе.

Хорошей практикой является изменение идентификатора сеанса.по крайней мере, каждый раз, когда изменяется уровень привилегий пользователя (самый простой пример - когда он входит в систему).