PHP 中的安全会话
Secure Sessions in PHP
能否创建一个 salt(随机字符串),将其附加到用户 ID 字符串,然后使用 md5(或其他加密),将相同的结果保存为 cookie,并作为会话变量,然后包含一个 php 安全页面上的脚本以确保 cookie 和会话变量匹配?
这样安全吗?
没有比让 PHP 使用 session_start() 调用自动为您生成会话 ID 更安全的了。
它仍然容易受到有人使用会话 ID 窃取您的 cookie 的攻击。
为了更好的安全性,请使用 HTTPS 并将 cookie 标记为仅限 HTTP,这样 javascript 就无法访问它们。您还可以将用户的 IP 存储在会话变量中,并检查 IP 地址是否与向您发回 cookie 的用户的远程地址相匹配。
能否创建一个 salt(随机字符串),将其附加到用户 ID 字符串,然后使用 md5(或其他加密),将相同的结果保存为 cookie,并作为会话变量,然后包含一个 php 安全页面上的脚本以确保 cookie 和会话变量匹配?
这样安全吗?
没有比让 PHP 使用 session_start() 调用自动为您生成会话 ID 更安全的了。
它仍然容易受到有人使用会话 ID 窃取您的 cookie 的攻击。
为了更好的安全性,请使用 HTTPS 并将 cookie 标记为仅限 HTTP,这样 javascript 就无法访问它们。您还可以将用户的 IP 存储在会话变量中,并检查 IP 地址是否与向您发回 cookie 的用户的远程地址相匹配。