CodeIgniter - запись сеанса, не удаленная из базы данных (CI - 2.1.4)

Question

Я установил свой конфиг, чтобы завершить сеанс при закрытии, и использовал таблицу базы данных, содержащуюся в руководстве CI, для хранения сеансов.

Но когда я закрываю браузер, данные сеанса по-прежнему сохраняются в базе данных. Меня волнует захват сеанса; запись остается в базе данных (то есть userdata: loggedin == true), и пользователь может просто установить свой собственный сеанс с этим значением и выключить их.

Почему запись в базе данных не удаляется при закрытии браузера, когда пользователь не нажимает кнопку выхода, но закрывает окно своего браузера?

мои настройки конфигурации:

$config['sess_cookie_name']  = 'cisess'; 
$config['sess_expiration']  = 0; 
$config['sess_expire_on_close'] = TRUE; 
$config['sess_encrypt_cookie'] = TRUE; 
$config['sess_use_database'] = TRUE; 
$config['sess_table_name']  = 'usersess'; 
$config['sess_match_ip']  = FALSE; 
$config['sess_match_useragent'] = TRUE; 
$config['sess_time_to_update'] = 300; 

Answer 1

Session угон является довольно маловероятно. Кому-то нужен доступ к вашей базе данных (которая полагается на вас для ее защиты), также нужен один и тот же пользовательский агент и подделка IP. Не говоря уже о том, что им нужна точная копия файла cookie пользователя, который требует доступа к браузеру пользователей на своем компьютере.

Также вы установили sess_expiration равным 0, что означает, что он никогда не истекает. Установите его в 1 и посмотрите, как он выполняется.

РЕДАКТИРОВАТЬ: Не обращайте внимания на то, чтобы его можно было ввести в систему, а затем оно истекло. Извиняюсь за это. Попробуйте установить его на более низкий временной интервал, хотя, может быть, около 30-40 минут.