Восстановить идентификатор сеанса после или после установки безопасного значения

Question

Это очень конкретный вопрос, когда нужно позвонить session_regenerate_id(). Существует ли разница или риск безопасности между вызовом session_regenerate_id() до или после установки безопасного значения в сеансе.

Перед установкой значения:

if ($login_success) { 

    session_regenerate_id(true); 
    $_SESSION['login_status'] = 'logged_in'; 

} 

Или после установки значения в сессии:

if ($login_success) { 

    $_SESSION['login_status'] = 'logged_in'; 
    session_regenerate_id(true); 

} 

Answer 1

Как это работает, session_regenerate_id() создаст и изменит идентификатор сеанса, перенесет сеанс в новый файл и отправит файл cookie. Передача true в качестве аргумента также удалит старый файл сеанса, опустив аргумент, он оставит его.

Таким образом, использовать ли вы

session_regenerate_id(true); 
$_SESSION['login_status'] = 'logged_in'; 

или

$_SESSION['login_status'] = 'logged_in'; 
session_regenerate_id(true); 

это одно и то же: информация переписывается в новый файл и печенье отправляется. Я бы советовал использовать true в качестве аргумента, хотя и всегда, чтобы избежать захвата старого сеанса.

Answer 2

Они фактически то же самое; информация сеанса фактически сохраняется только при вызове session_write_close() (или неявно, когда заканчивается скрипт). Таким образом, данные не будут сохраняться для старого идентификатора.