在浏览器关闭时注销[重复]

Question

我有一个带有登录名的 PHP 站点。一旦此人登录（使用基于标准文件的会话），此人可以单击注销页面，将其注销。

问题是 - 访问者通常不会这样做。他们只需关闭网络浏览器。

但是，下一个人可以过来，打开浏览器，然后就在第一个人的登录区域。

在共享用户环境（办公室、网吧等）中，这似乎是一个巨大的安全漏洞 :)

我需要知道如何通过关闭窗口来“注销”此人。我知道

 'session.cookie_lifetime' 

变量设置为 0。

必须有一些解决方案。任何帮助将不胜感激。

Answer 1

PHP 无法（孤立地）知道客户端何时关闭，因为那是客户端事件，而不是服务器事件。但是，您可以使用客户端上的 JS 将 AJAX 传回服务器，让它知道会话已关闭，使用 window.unload 事件 (link)。

您可能还想查看this answer，它解释了会话清理中的一个潜在漏洞（不确定这是否仍然适用于更新的 PHP 版本）以及您可能还需要调整的 session.gc_maxlifetime。