Почему сессия не уничтожается?

Question

[newaitix]

Есть код он инклюдится на каждую страницу а так же в файл auth.php

ini_set('session.cookie_secure',true);
ini_set('session.cookie_httponly',true);
ini_set('session.gc_maxlifetime',604800);
ini_set('session.cookie_lifetime',604800);
ini_set('session.save_path',__DIR__.'/_sessions/');
session_name('test');
session_start();

Выход из сессии осуществляется GET запросом в файл auth.php.
session_destroy();

Проблема в том что при первом запросе к файлу auth.php сессия не уничтожается. Она уничтожается только если сделать запрос к файлу auth.php, затем перезагрузить страницу, затем снова сделать запрос к файлу auth.php.
Перебирая код я определил, что проблема в строке
ini_set('session.cookie_httponly',true);
Если я ее закоментирую, то сессия будет уничтожаться при первом же запросе.
Почему так происходит?
Возможно если я устанавливаю cookie_httponly, то не достаточно просто сделать session_destroy, а нужно что то еще?

Comments

[Stalker_RED]

Как вы проверяете сработал destroy, или нет?
У меня нет сомнений в том, что функция работает как заявлено. Но возможно вы ожидаете от неё какого-то другого поведения. Кстати, там прямо в документации есть красная плашка с предупреждением, и с рекомендаций как обойти возможные проблемы.

[newaitix]

Stalker_RED, никак не проверяю. Я расчитыаю что она будет разорвана так как выполняется session_destroy();

[Алексей Уколов]

Почему вы считаете, что она не "разорвана"?

[Stalker_RED]

newaitix, она и не должна ничего "разрывать" что бы вы под этим не имели в виду. Почитайте документацию уже, там пол страницы текста, зато станет понятнее что происходит.
https://www.php.net/manual/ru/function.session-des...

В большинстве случаев достаточно просто сделать так:$_SESSION = [];

[newaitix]

Потому что пользователя не не выбрасывает из аккаунта.
Раньше выбрасывало.
Это раз.
Два потому что есть файлы сесии и они остаются с данными.
А раньше они становились пустыми.

[newaitix]

Stalker_RED, окей а почему она разрывется если я убираю ini_set('session.cookie_httponly',true);
Я же написал об этом вы же прочитали то что я написал?
То есть если я убираю ini_set('session.cookie_httponly',true); то сессия будет разрываться если я добавляю ini_set('session.cookie_httponly',true); то сессия перестает разрываться.
Понимаете?

[Stalker_RED]

newaitix, я не понимаю термин "разрывается", вы его сами придумали?
В классической схеме* сессия - это кука PHPSESSID=бла-бла-бла в браузере. И с соответствующим именем файлик в папочке.
И когда вы делаете session_start, то файлик читается, и копируется в переменную $_SESSION
А когда вы что-то меняете в этом массиве, и то изменения записываются в файлик. (При завершении скрипта session_write_close вызывается автоматически, либо можете вызвать его вручную заранее).

Где в этой схеме может быть "разрыв" - вообще непонятно.
Можно изменить или удалить куку - при следующем запросе файл сессии не подключится.
Можете удалить файлик или его содержимое.
Можете сделать $_SESSION = []; // в глобальной переменной станет пусто
session_write_close(); // и в файле тоже станет пусто

* - Эту схему можно настраивать и менять - куке можно изменить имя, вместо файлов можно хранить данные в БД, но суть не в этом.

[AUser0]

Документацию читали? А комментарии к функции? Про session_commit() решили не воспринимать? Cookie сессии вручную удаляете?

[newaitix]

Я же аписал что session_destroy работает но только при условии если убрать ini_set('session.cookie_httponly',true);
К чему эти вопросы?

Answer 1

[Ербол]

Попробуй создать файл logout.php и обращаться к нему
<?php
session_start();
session_unset();
session_destroy();

Comments

[newaitix]

Попробовал не помогает, все то же самое.

[Stalker_RED]

unset и destroy не обязательно вместе вызывать, если это в конце скрипта.
destroy чистит то, что в файлике не очищая массив $_SESSION, а unset чистит и то и другое. Вызвать после unset еще и destroy - просто лишняя строка кода.

Answer 2

[ThunderCat]

Давайте вместе почитаем документацию и поучимся понимать что пишут умные дяди и тети:

session_destroy() уничтожает все данные, связанные с текущей сессией. Данная функция не удаляет какие-либо глобальные переменные, связанные с сессией и не удаляет сессионные cookie. Чтобы вновь использовать переменные сессии, следует вызвать .

Это значит что у вас в текущем состоянии пропадает переменная $_SESSION и связанный с ним идентификатор, но кука сессии и файл сессии на сервере никуда не деваются. И при следующем обращении к серверу вы делаете session_start() и сессия вновь работает.

Замечание: Нет необходимости вызывать session_destroy() в обычном коде. Очищайте массив $_SESSION вместо удаления данных сессии.

Очень важное замечание, как раз связанное с вашей возмущенной репликой о том что "ну вот так же работает!111!". При большом разнообразии настроек и конфигураций серверов, сессия может вести себя по разному, что с одной стороны дает гибкость поведения если знать как и зачем вы что-то делаете, с другой стороны может вызвать проблемы, как в вашем случае, когда вы не очень понимаете зачем какие настройки и как обойти возникшие сайдэффекты. По этому самым верным решением является удаление данных из сессии.

Чтобы полностью удалить сессию, также необходимо удалить и её идентификатор. Если для передачи идентификатора сессии используются cookie (поведение по умолчанию), то сессионные cookie также должны быть удалены. Для этого можно использовать setcookie().

Чего вы очевидно не делаете.

При включённой опции session.use_strict_mode, вам не нужно удалять устаревшие cookie идентификатора сессии. В этом нет необходимости, потому что модуль сессии не примет cookie идентификатора сессии, если с этим идентификатором сессии нет связанных данных, и модуль сессии установит новый cookie идентификатора сессии. Рекомендуется включать опцию session.use_strict_mode для всех сайтов.

Рекомендуемые настройки, которые возможно вам помогут решить проблему именно вашим способом, НО вышеописанный способ является рекомендуемым.