服 务器被网站A和网站B共享,访问A和B的URL分别是http://server/A, http://server/B。用户从客户端C上同时访问站点A和站点B,会被分配同一个SESSION ID。如果非常巧合,A站点的SESSION和B站点的SESSION使用了同名的变量,就会产生很大的问题。
导致问题的原因是在php.ini的默认设置中:
; The path for which the cookie is valid.
session.cookie_path = /
; The domain for which the cookie is valid.
session.cookie_domain =
; Whether to use cookies.
session.use_cookies = 1
C 在第一次访问A时,站点会分配一个SESSIONID放在COOKIE中,以后每次C访问A时都会携带这个COOKIE,服务器根据COOKIE中存储的 SESSION ID知道当前处理的是哪个会话的请求。如果使用php.ini中的默认设置,C携带的这个COOKIE是在http://server范围内有效的。当C 访问B的时候,也会携带这个COOKIE,B看到在COOKIE中有SESSION ID,于是就会去读取这个SESSION,并且以为这个SESSION就是B站点分配给C的SESSION,于是问题产生。
解决这个问题的方法之一就是在编写代码时设置自己独立的参数。比如以下:
ini_set('session.cookie_path', dirname($_SERVER['SCRIPT_NAME']));
ini_set('session.name', 'MYSESSIONNAME');
session被共享的问题及解决
最新推荐文章于 2021-02-26 22:20:49 发布