dediğin gibi session_regenerate_id fonksiyonunu kaldırdım. onu bilinçli kullanmamıştım. bir kaç yabancı forumda onuda ekleyerek örnek vermişler o yüzden yazmıştım.
peki şu anda kaldırdığım için bir güvenlik açığı mı oluştu?
Hayır bir güvenlik açığı oluşturmadın. Session yapılandırmasını doğru kurduysan her kullanıcıya özel bir session üretildiyse bir sorun olmaz. Ortak kullanım session ağı olan durumlarda benzeri sorunlar yaşanabilir ama sunucunun session dizinine müdahale şansı olmadığı sürece Sniffing işlemi yapılamaz. Zaten sorunun cevabını bu kadar geç almanın nedeni
session_regenerate_id yi bir çok yazılımcının kullanmamasından kaynaklanıyor. Bu demek oluyor ki piyasadaki bir çok yazılımda zaten session_regenerate_id yok...