Quote:
cookie_lifetimeにこだわっているわけではありませんが、gc_maxlifetimeとcookie_lifetimeを併用すればよさそうですね。
monsukeさんも書かれてましたが、gc_maxlifetime だけだと、確かに確率の問題が発生してしまうので、むしろ
Quote:
プラス、セッション情報取得時に期限切れレコードを削除(もしくは検索条件に期限を追加)
こっちがMUSTかもしれませんね。
こんなことを書くのもナニですが、クッキーの有効期限が設定されたカスタムセッションの有効期限より長い分にはほとんど問題ないんですよ。
だって、肝心のセッション情報さえそのセッションID(クッキー)で取り出せないのなら、なんの意味もないんですから。だから、今までもこの部分は問題にならなかったのだと思います。
歴史的に見ても、X2のカスタムセッションって、おそらくはオートログインを実装しようとした名残ですよね。
ただ、そういう形でセッションを長期間保存すると、セッションテーブルがふくれあがるから、ログインIDとハッシュ済パスワードをクッキーで渡す形のオートログインにしましょう、となったわけで。(しかも、安全性という点では後者の方がさらに悪い)
ちゃんとセッションテーブルの掃除をして、一定期間毎にセッションIDを切替えれば、実はオートログインHack自体不要かもしれません。