Wordpress verwendet keine Sitzungen.
Ich habe mich immer gefragt, welchen Mechanismus WP verwendet, um einen Benutzerstatus aufrechtzuerhalten, wenn der Benutzer von Seite zu Seite wechselt.
Es verwendet bloße Cookies und speichert die clientseitigen Informationen zum Anmeldestatus.
wordpress_7339a175323c25a8547b5a6d26c49afa = Ihr Benutzername% 7C1457109155% 7C170f103ef3dc57cdb1835662d97c1e13;
Das Salz befindet sich in Ihrer Datei wp-config.php:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
Das Authentifizierungs-Cookie, dessen Name in AUTH_COOKIE gespeichert ist und das durch Verketten von "wordpress_" mit der in default-constants.php festgelegten md5-Summe der Siteurl gebildet wird. Dies ist das Standardverhalten und kann aus Ihrer Konfigurationsdatei heraus überschrieben werden, indem einige der Konstanten im Voraus eingerichtet werden.
Das Authentifizierungscookie ist eine Verkettung des Benutzernamens, ein Zeitstempel, bis zu dem das Authentifizierungscookie gültig ist, und ein HMAC, eine Art schlüsselabhängiger Hash für diejenigen, die gerade einen TL; DR gezogen haben. Die drei Variablen sind mit dem Pipe-Zeichen | verknüpft.
So ist der HMAC aufgebaut:
$hash = hash_hmac('md5', $username . '|' . $expiration, wp_hash($username . substr($user->user_pass, 8, 4) . '|' . $expiration, $scheme));
Laut diesem Artikel, aus dem die meisten Informationen in dieser Antwort stammen, würde ein Hacker ungefähr eine Woche brauchen, um 30 Anfragen pro Sekunde brutal zu senden, wenn er wüsste, was Ihre eindeutige Phrase ist, und 200.000.000.000.000.000.000.000.000.000.000 mal schwerer, wenn Ihre Schlüssel eindeutig sind.
Cookies sind nur die clientseitige Speicherung von Sitzungsdaten ... WordPress-Cookies
Tatsächlich kann man Cookies ohne Sitzungen haben, aber keine Sitzungen ohne Cookies.
quelle
session_start()
explizite Verwendung aktivieren . Jetzt hat WordPress offensichtlichsession_start()
nirgendwo in seinem Kern. Sehen Sie, wo mich Ihr letzter Kommentar verwirrt?