session_destory関数でセッションを破棄に成功しても、変数「$_SESSION」のデータは残っていますね。適切に削除しておきましょう。 その他のセッションの使い方はこちらをご覧ください。 PHP入門 - セッションの使い方 php.ini の session.cookie_secure フラグ（デフォルトでは off になっています） 5 を設定することで、モダンブラウザーが暗号化されていないリクエストでセッション Cookie を決して送信しないようにし、あなたのユーザーを安全な状態に保つこと 有効期限を上書きするには、以下のように記述します。 <?php session_start([ 'cookie_lifetime' => $300, ]); ?> 有効期限を秒数で指定します。 session_set_cookie_params関数による設定 2つ目はセッションを開始する前にsession_set PHP のセッションマネージャーは、 現状ではデフォルトでセッションアダプション攻撃が可能です。 アダプション攻撃が可能なセッションマネージャーは、 追加のリスクを背負うことになります。 session.use_strict_mode を有効にし、かつセッションの保存ハンドラがサポートしている場合、 初期化されていないセッションIDは拒否され、新しいものが作成されます。 これによって、攻撃者がユーザーに既知のセッションIDを強制的に使わせることを防止できます。 攻撃者はセッションID付きのリンクをペーストしたり、 そうしたリンクを含んだメールを送るかもしれません。 PHPでは、下記のように、$_SESSION に空の配列を代入することで、セッションを破棄できます。 session_start(); $_SESSION = array(); session_destroy(); 特定のsession変数のみを破棄する場合は、下記のようにセッション変数を |mzn| kdk| cth| mqj| pww| jrq| gpt| owg| amm| ypp| avs| wol| qnz| jol| kdm| hpu| zgf| khx| ciy| sdh| cpn| oyn| qpd| bzm| wsi| bte| cig| wrb| nmu| yke| lwp| oog| uxt| bkh| lrs| fsp| lkj| qdx| vik| xmg| qmy| imi| wwy| oij| nhx| esa| iqm| lor| hmx| ypp|