Это очень конкретный вопрос, когда нужно позвонить session_regenerate_id()
. Существует ли разница или риск безопасности между вызовом session_regenerate_id()
до или после установки безопасного значения в сеансе.Восстановить идентификатор сеанса после или после установки безопасного значения
Перед установкой значения:
if ($login_success) {
session_regenerate_id(true);
$_SESSION['login_status'] = 'logged_in';
}
Или после установки значения в сессии:
if ($login_success) {
$_SESSION['login_status'] = 'logged_in';
session_regenerate_id(true);
}
Ваш ответ совершенно правильный, и я благодарен за ввод, но он не стал актуальным вопросом. Чтобы избежать путаницы для других программистов, я изменил ответ. Каламбур не предназначен (я поддержал ваш ответ). – Nitin