1

アプリケーションのユーザーが非常に長期間ログインしたままにしたい。問題は、セッションがサーバー側で期限切れになり、セッションに保存されている変数が失われることです。そのため、セッションが 10 日で期限切れになるように設定しています。

私の質問は次のとおりです。GC の有効期限と Cookie の有効期間を 10 日に設定することで、セキュリティやパフォーマンスの問題はありますか?

ini_set('session.cookie_lifetime', 864000);
ini_set('session.gc_maxlifetime', 864000);
4

2 に答える 2

2

明らかに、セッション タイムアウトが大きいほど、Cookie/セッション ハイジャックのリスクが高くなりますが、非常に機密性の高い情報 (医療記録、オンライン バンキングなど) を扱っている場合を除き、私はあなたと同じようにする傾向があります。実際、私は持っています。

于 2009-10-17T03:02:17.477 に答える
0

セッションハイジャックのリスクが高まります。

私は定期的に session_regenerate() を呼び出します。これにより、実際にログインするユーザーのリスクは軽減されますが、ログインしないユーザーには何もしません。

于 2009-10-17T03:03:07.523 に答える