Tema: sesion fixation
Ver Mensaje Individual
  #3 (permalink)  
Antiguo 18/02/2013, 08:27
Blashak
 
Fecha de Ingreso: noviembre-2007
Mensajes: 471
Antigüedad: 17 años
Puntos: 2
Respuesta: sesion fixation
Cita:
Iniciado por maycolalvarez Ver Mensaje
en realidad no basta solo con regenerar el id de sesión, lo recomendable también es cambiar o eliminar la cookie al cerrar la sesión

he aquí una buena discusión del tema: http://stackoverflow.com/questions/5...tion-hijacking
Gracias por el aporte me sera de utilidad pero, sigo teniendo la misma duda que hice mas arriba.
No entiendo la necesidad de agregar esto ($_SESSION['logged_in'] = FALSE;):

Código PHP: 
Ver original
  1. <?php
  2. $_SESSION['logged_in'] = FALSE;
  3. if (check_login())
  4. {
  5. session_regenerate_id();
  6. $_SESSION['logged_in'] = TRUE;
  7. }
  8. ?>


El siguiente código hace lo mismo sin la linea esa.

Código PHP: 
Ver original
  1. <?php
  2. if (check_login())
  3. {
  4. session_regenerate_id();
  5. }
  6. ?>