php - 我不明白为什么 session_regenerate_id 对低连接很危险？

问题描述

我正在研究我的网站的安全性，我会理解为什么应该谨慎使用 session_regenerate_id。在 php 手册文档（https://www.php.net/manual/en/function.session-regenerate-id.php）中，他们说：

目前，session_regenerate_id 不能很好地处理不稳定的网络，例如移动和 WiFi 网络。因此，调用 session_regenerate_id 可能会导致会话丢失。

您不应立即销毁旧会话数据，而应使用销毁时间戳并控制对旧会话 ID 的访问。否则，对页面的并发访问可能会导致状态不一致，或者您可能丢失了会话，或者可能导致客户端（浏览器）端竞争情况，并可能不必要地创建许多会话 ID。立即删除会话数据也会禁用会话劫持攻击检测和预防。

我不明白为什么这个功能可能意味着失去连接。我们向服务器发送一个请求，他更改 SID（使用旧值初始化 $_SESSION 并在 save_file 位置创建一个文件），以便他可以向客户端发送一个 cookie。

任何人都可以向我解释我们可以在哪里丢失会话？我真的很困惑，但我会理解这个问题以解决这个问题......

提前谢谢大家：D

Ps：我还阅读了https://www.php.net/manual/en/function.session-regenerate-id.php上的文档，但我不明白第二个例子：

function my_session_start() {
session_start();
if (isset($_SESSION['destroyed'])) {
   if ($_SESSION['destroyed'] < time()-300) {
       // Ne devrait pas se produire habituellement. Cela pourrait être une 
       // attaque ou en raison d'un réseau instable. Supprimez tout l'état 
       // d'authentification de cette session utilisateurs.
        remove_all_authentication_flag_from_active_sessions($_SESSION['userid']);
       throw(new DestroyedSessionAccessException);
   }
   if (isset($_SESSION['new_session_id'])) {
       // Pas encore complètement expiré. Pourrait être perdu cookie par réseau instable.
       // Essayez à nouveau de définir le cookie d'ID de session approprié.
       // Remarque: n'essayez pas de redéfinir l'ID de session si vous 
       // souhaitez supprimer l'état d'authentification.
       session_commit();
       session_id($_SESSION['new_session_id']);
       // Nouvel ID de session doit exister
       session_start();
       return;
   }
 }
}

为什么如果“time()-300”可能是攻击？而且我不明白为什么我们应该删除一个会话，如果它可能是一个网络问题......这会导致连接丢失吗？我不明白为什么我们应该提出例外？有人可以帮助我吗？

标签： phpsessionsession-hijacking