2026-06-07 登录注册 Session ID 轮换加固

本次修复登录、注册和 token 自动登录绑定 session 时未轮换 Session ID 的问题，降低 session fixation 风险。

主要改动：

1. 新增 Session ID 轮换封装

• 文件：model/session.func.php
• 新增 sess_regenerate()，调用 session_regenerate_id(TRUE) 销毁旧 Session ID 并生成新 ID。
• 同步更新自定义 session 存储使用的 $sid、$g_session 和 session 表记录，确保新 Session ID 后续可正常写入。

1. 登录成功后绑定 session 前轮换 ID

• 文件：route/user.php
• 密码登录验证通过、写入 $_SESSION['uid'] 前调用 sess_regenerate()。

1. 注册成功后绑定 session 前轮换 ID

• 文件：route/user.php
• 用户创建成功、清理注册验证码 session 后，写入 $_SESSION['uid'] 前调用 sess_regenerate()。

1. token 自动登录绑定 session 前轮换 ID

• 文件：index.inc.php
• 当前 session 未登录但 token 校验成功时，写入 $_SESSION['uid'] 前调用 sess_regenerate()。
  
  
  

  欢迎大家加入QQ交流群：785017513