ログアウトを実行してもログアウトされていない。

こんにちは、ログアウトについてお聞きしたのですが、
どなたかお力を貸してください。



ユーザーネームとパスワードでログインする会員サイトを作っています。
会員メンバーのみ閲覧できるページがあるというシステムです。

ログインをして会員ページを閲覧できるのですが、
「ログアウトボタン」を押してもログアウト処理がされず、
まだ会員しか閲覧できないページを見ることができる状態です。

見ることができます。

いままでは、

// セッションを壊す。
//setcookie ("USERNAME", "");
//setcookie ("PASSWORD", "");


と記述していましたが、うまくいきませんでした。

調べたところ
// セッション変数を全て解除する
$_SESSION = array();

// セッションを切断するにはセッションクッキーも削除する。
// Note: セッション情報だけでなくセッションを破壊する。
if (isset($_COOKIE[session_name()])) {
setcookie(session_name(), '', time()-42000, '/');
}

// 最終的に、セッションを破壊する
session_destroy();

という書き方があるとわかったのですが、
ユーザーネームとパスワードを初期化するという文法と
書き方が分からず、未だに、ログアウトできない状態です。

文法と書き方をどなたか教えて頂けないでしょうか。


また、セッションを保つ時間の記述の仕方も教えて頂けないでしょうか

よろしくお願い致します。

No.1 回答者： hrm_mmm 回答日時： 2008/11/09 00:21

ユーザーネームとパスワードをcookieに保存するのは、危険じゃないでしょうか？

というか、ユーザーネームとパスワードをcookieに保存しているために、sessionの役割が果たせてないのかも？

session を使うなら、ユーザーネームとパスワードはログイン処理後はどこにも保持せず、$_SESSIONに保持した別のデータでログインチェックを行う事になるかと思うのですけど。
ログイン処理部分から検討し直した方が良さそうです。
http://jp.php.net/manual/ja/book.session.php

その上で、session 情報を破棄するには、以下で十分だと思いますけど
function logout(){
// セッション変数を全て解除する（サーバー側保持データを初期化）
$_SESSION = array();
// cookie データを削除
if (isset($_COOKIE[session_name()])) {
$sp = session_get_cookie_params();
$p = $sp['path'];// cookie path の取得
setcookie(session_name(), '', time()-42000, $p);
}
// 最終的に、セッションを破棄する
session_destroy();
}
どんな出力も行わないうちに、session_start() および logout()を実行して下さい。

「セッションを保つ時間」て、どのこと？cookie_lifetimeの方？session.gc_maxlifetimeの方？それとも、アクセス時刻をsessionデータに入れておいて、前回アクセス時刻と比較して一定時間以上経っていれば、ログアウト処理を敢行するとか？

参考URL：http://jp.php.net/manual/ja/refs.basic.session.php