运行sess_destroy()后仍可以通过修改URL闯入登录后页面
我在页面的“退出登录”键背后,已经sess_destroy(),但是发现在URL打登录后地址,还是可以进入登录后页面。只有主动删除浏览器cookie后才不能。我在登录后页面的controller里面已经正确检查了session。sess_destroy()难道不是立刻生效吗? ci的session和cookie同时使用的你是不是设置了保存周期啊? longjianghu 发表于 2011-8-27 22:42 static/image/common/back.gif
ci的session和cookie同时使用的你是不是设置了保存周期啊?
是默认5分钟的那个周期?
那个恐怕是设置了,难道sess_destroy()要等一个周期才生效⋯⋯ 与保存周期关联不大。楼主可能用了数据库存session的方式。
搜索一下论坛,hex有个替代的session方案,比较好用。
页:
[1]