Работа сессий в php

Доброго времени суток! Учусь использовать сессии. Сначала открываю её:
потом кладу туда нужные мне переменные, потом таким же образом открываю сессию в других php файлах, работаю с этими переменными, потом по нажатию на ссылку выход вызываю скрипт exit.php и прибиваю сессию:
exit.php:
в процессе работы вывожу для наглядности
session_name всегда PHPSESSID, я в курсе, что так и должно быть, когда вывожу session_id, он получается что то вроде jhhsibt87g8q9nr8p13vsmfdt5, при этом в session_save_path создается одноименный файлик без расширения,
в котором хранятся сессионные переменные, когда грохаю сессию - он обнуляется, и вопрос: почему session_id при каждой новой сессии не меняется, а меняется только при перезапуске браузера (у меня chrome, но пробовал на разных).
Так и должно быть, или нет? и как быть, еcли я хочу, чтобы у каждого пользователя создавался свой session_id, который я потом буду использовать, при логировании допустим, разумно ли такое моё желание? Работаю на локальной машине. Apache 2.2.22 и php 5.3.5, OS windows 7
спасибо.

0

Сообщение от Landser Так и должно быть, или нет?

так и должно. для изменения id сессии используйте session_regenerate_id(true);

Сообщение от Landser и как быть, еcли я хочу, чтобы у каждого пользователя создавался свой session_id

есть подозрение что таковой создается автоматически

1

wq, спасибо за ответ!

есть подозрение что таковой создается автоматически

что именной создаётся автоматически? Session Id при какдом Session_start после session_destroy?
я так пробовал:
проверил первого пользователя,если проверка прошла,то стартанул сессию, вывел session id, грохнул сессию
проверил второго пользователя,начал сессию, вывожу session id, а он такой же. В session path в одноимённом файле хранятся уже соответственно другие сессионные переменные, которые привязаны к ко второму пользователю,но сам sesion id тот же..

0

Сообщение от Landser проверил первого пользователя... проверил второго пользователя... но сам sesion id тот же..

А браузер пробовали закрывать между этими "проверками"?

И зачем вообще Вам этот ID дался? После того как уничтожен, никакие старые данные из него не вытащить.

1

pav1uxa, спасибо за ответ! Если так подумать-то и не нужен он мне, просто на всякий случай буду писать его в бд и всё..

но тут другая проблема выяснилась:

Вот залогинился я, работаю на страничке, завелась сессия, в неё были помещены мои переменные, а потом не нажал выход , а просто закрыл вкладку в браузере, не сам браузер.

И получается, что session destroy не сработал, и можно будет в этом же браузере ввести что то вроде адрес/важная_страница и туда пустит, да и при том скажет мне, привет "моё имя", тк в сессии лежит мой логин и со всеми последствиями, с этим как бороться? Чтобы при закрытии именно вкладки сессия завершалась, да притом не каждой вкладки - а то работать невозможно будет)) а как нибудь проверять, что если закрыты все вкладки, на которых открыта сессия, то тогда завершать её при закрытии текущей вкладки, а если ещё остались вкладки, на которых работает сессия, то просто закрыть текущую страницу без destroy? возможны такие проверки?

0

Сообщение от Landser чтобы у каждого пользователя создавался свой session_id

так и есть

Сообщение от Landser И получается, что session destroy не сработал, и можно будет в этом же браузере ввести что то вроде адрес/важная_страница и туда пустит, да и при том скажет мне, привет "моё имя"

вы браузер "по рукам пускаете"? или "мое имя" просто через время решил продолжить работу?
в любом случае, если есть такая необходимость - находите настройку и меняете срок "жизни" сессии

1

Сообщение от Landser просто на всякий случай буду писать его в бд и всё..

Бессмысленно.

Сообщение от Landser возможны такие проверки?

Только если с помощью JS. Скажем, каждые 10 секунд отправляем AJAX-запрос на сервер, где происходит запись, что юзер с таким-то id был на сайте в такое-то время. И при каждом заходе на сайт проверять время последнего ajax-запроса. Если он был более 10 секунд назад - значит, вкладка была ранее закрыта, надо обнулять сессию.

1

Сообщение от Landser И получается, что session destroy не сработал, и можно будет в этом же браузере ввести что то вроде адрес/важная_страница и туда пустит, да и при том скажет мне, привет "моё имя", тк в сессии лежит мой логин и со всеми последствиями, с этим как бороться? Чтобы при закрытии именно вкладки сессия завершалась, да притом не каждой вкладки - а то работать невозможно будет)) а как нибудь проверять, что если закрыты все вкладки, на которых открыта сессия, то тогда завершать её при закрытии текущей вкладки, а если ещё остались вкладки, на которых работает сессия, то просто закрыть текущую страницу без destroy? возможны такие проверки?

Ну с тем же успехом можно сказать: "А что если за спиной пользователя кто-то подойдет незаметно, и подсмотрит его личные данные? Как с этим бороться!?".

Это уже проблема пользователя что он "Выход" нажать забывает.

1