大爆冷门！如何突破SESSION的安全机制

a_coder

在未经处理的情况下，同一台机器，进行一个会话。即使退出时销毁了这个session。那么他下次连接时，他的session id仍然与上次的相同

unspace

原帖由 a_coder 于 2007-9-4 12:48 发表
在未经处理的情况下，同一台机器，进行一个会话。即使退出时销毁了这个session。那么他下次连接时，他的session id仍然与上次的相同

有这样的事情？

在win下测试后发现，确实如此，再新开一个窗口，如果传过去session_id，在前一个窗口没有session_destroy()的情况，新窗口可以取得值

现在不方便再换一台机器把session_id传过去，是否可以取得已登陆用户的权限

a_coder

这应该是session方面的一个问题，至于为何如此，尚不知原因。但如果使用自己定义的session存储机制，可以完美的解决这个问题