我正在考虑在每个页面上使用这段代码来减少 session 劫持的可能性。通过在每个请求上更新 session_id ``` if(!empty($_session)){ session_start(); } ``` 另一种实现方式是这样做: ``` if(!empty($_session)){ session_regenerate_id(true); } ``` 但是，我听到对该功能的批评，说如果由于某种原因页面刷新太快， session ID 将无效。 另一种使用 session ID 的方法是更好地控制 session 的生成方式。 还有其他方法可以实现...最佳做法是什么？ 最佳答案 在每个页面上调用 session_regenerate_id 是不必要的开销。 您应该只在登录时或您重新授权用户时调用它。 如果您还需要，您可以将上次重新生成的时间存储在 session 中，然后在 30 分钟后调用 session_regenerate_id，但绝对没有必要在每个页面上都这样做。