我已经过不去建有一个登录系统网站。 我刚刚准备好后，我曾与扫描的Acunetix它，但我得到了以下信息：

会话Cookie没有的HttpOnly标志设置会话Cookie没有安全标志设置（我想这是唯一的，如果我有SSL连接）

所以我的问题是，我不知道怎么可以设置的HttpOnly标志为我所有的会话数据？ 我只是用会话当我登录的用户。 我给他们一个会话与他们的用户ID号，比我使用的用户标识获取数据。

有没有简单的方法，我可以将所有会话中HTTPOnly和保护他们，所以没有人可以接触他们？

您可以更改设置php.ini中，或通过ini_set()调用来改变session.cookie_secure和session.cookie_httponly值true 。

或者，你可以使用session_set_cookie_params()开始您的会话，让您正在寻找生效。

http://us3.php.net/manual/en/function.session-set-cookie-params.php

你应该看看这个优秀的网站为这个问题。 归结到一点，（或通过适当的运行功能）在你的php.ini的会议段设置它：

session.cookie_httponly = True

你也可以只设置httponly标志false ，当您使用PHP setcookie ：

// params: name, value, expiration, path, domain, secure, http-only
setcookie('session-cookie-key', 'data', 0, '/', 'example.com', true, false);