运行sess_destroy()后仍可以通过修改URL闯入登录后页面

fengzee

我在页面的“退出登录”键背后，已经sess_destroy()，但是发现在URL打登录后地址，还是可以进入登录后页面。只有主动删除浏览器cookie后才不能。我在登录后页面的controller里面已经正确检查了session。

sess_destroy()难道不是立刻生效吗？

longjianghu

ci的session和cookie同时使用的你是不是设置了保存周期啊？

fengzee

longjianghu 发表于 2011-8-27 22:42
ci的session和cookie同时使用的你是不是设置了保存周期啊？

是默认5分钟的那个周期？

那个恐怕是设置了，难道sess_destroy()要等一个周期才生效⋯⋯

spt119

与保存周期关联不大。楼主可能用了数据库存session的方式。
搜索一下论坛，hex有个替代的session方案，比较好用。