11/06/30 15:23:32.26
セッションファイルが残ることを危惧してるなら
ログアウト時にセッション変数を完全に消せばおk
これでセッションハイジャックされても
ログイン情報は残ってないのでできない
(通常ログインに成功したらセッション変数にユーザ名とかを入れて
その変数の有無でログイン状態を確認するので)
まぁ普通セッションIDは類推されにくいものなので
こちらの心配はほぼしないでも大丈夫
ログイン中のハイジャック対策でプログラム側が行えるのは
XSSによるクッキー漏洩対策ぐらい
(通常クッキーにセッションIDを入れるので)
ログインフォームやログイン後の入力フォームに
XSS脆弱性がなければまぁ問題ないでしょう
あとログイン時にセッションを発行するだろうけど
ログイン成功時にセッションを再発行して
そっちのセッションを使うとなおよい(前セッションは破棄)