用户自动以不同的用户身份登录

这听起来像是缓存问题。尝试调用weblogin uncached [! weblogin !]而不是[[WebLogin]]

我同意orbitory的说法，这听起来像是一个缓存问题。除了WebLogin片段之外，如果您有任何其他包含个性化信息的片段或块，请确保它们也被称为非缓存。否则，如果您的站点缓存被清除，然后用户登录，则由该用户的代码片段生成的任何个性化内容将与页面一起缓存，所有用户都将看到它。

由于随机数生成器(RNG)的播种不当，我以前见过这种事情发生。您的应用程序是否处理随机数?你自己是RNG的种子吗?没有。

你的应用程序可能启动10个进程，每个进程可能获得相同的RNG种子，所以它们都开始产生相同的随机数系列，创建重复的会话令牌。

进程可能会得到相同的随机种子，因为你在分叉之前播种了生成器，或者因为它们都在一天中的当前时间同时播种，这对它们来说都是相同的。

最好不要自己播种RNG -它应该在任何正常的平台上照顾好自己。

除非有某种原因你想要一个相同的随机数序列，在这种情况下，你应该创建一个不同于默认随机数的单独的伪rng。

我不认为这与缓存有关，可能有多种可能的原因。

首先尝试这些来生成一个唯一的会话:

//For successfully truncating a session
if (ini_get("session.use_cookies")) {
    $params = session_get_cookie_params();
    setcookie(session_name(), '', time() - 42000,
        $params["path"], $params["domain"],
        $params["secure"], $params["httponly"]
    );
}
//For generating a unique id for every session
session_regenerate_id(true);

另外，请检查mysql资源是否每次都返回正确的用户标识符，这只是一个大胆的猜测，但要确保这可能是一个可能的怀疑。

如果你在php.ini文件中编辑这个值，它可能会解决这个问题

session.use_strict_mode = 1

关于中间人攻击

请注意，如果您的站点使用HTTP协议，那么劫持外部用户会话是完全可能的。

为了防止会话劫持攻击，需要启用HTTPs。

HTTP以简单文本(未加密)的形式传输与请求和应答相关的数据。

由于会话ID要么保存在cookie中，要么保存在url 中(请不要使用该选项!)，因此MITM攻击只是读取会话ID。然后，MITM攻击者在其浏览器中设置会话ID cookie，并拥有其他用户的标识。

declare(ticks=1);
register_tick_function('traceStatements', true);

function traceStatements() {
      $traceInfo = debug_backtrace();
      // Use $traceInfo to identify the last method called
      // Trace the method to a central log file
      // Create a new log file per incoming http request
}