我想限制在管理员会话期间仅对安全连接使用PHPsessid cookie,但允许普通用户在不安全连接上使用PHPsessid.每次在调用session_start()之前运行脚本时,都需要调用session_set_cookie_params,但是我需要先调用session_start()来检查告诉我用户是否为admin的会话数据.
我想拥有只能通过https(管理面板,登录名等)访问的页面,以及网站的其余部分(文章等)只能通过普通用户的普通连接访问,而只能通过管理员的安全连接访问.这样就永远不会暴露管理员的sid;仅暴露sid仅依靠IP,用户代理等检查是不够的.重要的交易将受到密码保护,但是对于所有交易而言,这是不可能的,这会让人讨厌.
解决方法:
一种简单的方法可能是使用session_name()并设置会话的名称.然后,仅在属于管理页面和HTTPS的页面上启动“管理会话”.