Czy przed zakończeniem sesji:
session_destroy();
Trzeba niszczyć wszystkie zmienne?
$_SESSION=array();
Jeśli ich nie zniszczę to co się może stać.
0
0
Zamiast
$_SESSION=array();
moze session_unset();
?
A co do pytania to usuwanie zmiennych nie jest konieczne, mi przynajmniej nigdy to roznicy nie robilo jak pisalem w pehapie.
Kiedys ktos pisal ze to sie dla bezpiecznestwa robi. Nie wiem i tak czemu, ale jak bedziesz dzieki temu spal spokojniej to mozesz je usuwac ;)
1
PHP identyfikuje sesję na podstawie parametru przekazanego przez przeglądarkę kliencką w requeście (najczęściej w ciastku, ale może być też w GET). Jeśli wyczyścisz/zniszczysz sesję kiedy użytkownik się wyloguje, to ktoś kto mógł przejąć identyfikator sesji nie będzie już w stanie z niej skorzystać.
Nie ma potrzeby ustawienia zmiennych sesji na pustą tablicę, bo i tak wszelkie informacje na temat sesji będą skasowane przy użyciu session_destroy
http://wortal.php.pl/Wortal/Artykuly/Bezpieczenstwo/Sesja-uzytkownika-w-PHP-zagrozenia-i-ochrona/Session-Hijacking - polecam lekturę :)