我對如何保護PHPSESSID非常無能。 session_id的值是否來自PHPSESSID?如果session_id受到威脅將會是災難性的。有人有主意嗎?如何保護PHP中的PHPSESSID?
2
A
回答
3
下面是PHP手冊中的一篇文章,解釋了PHP會話安全:link
可能保護你的會議將是使您的網站的SSL和餅乾會話ID迫使存儲的最有效途徑。然後,cookies將被加密,因爲它們將傳遞到您的網站,並應保證足夠的保護。
0
session_id存儲在用戶系統的cookie中。不確定你的意思是保護它。
2
您可以使用HTTPS作爲RaYell說,但如果你買不起的證書,還有一些方法,以確保即使在HTTP會話:
- 商店的用戶代理在會話時創建會話。檢查每個請求上的用戶代理。如果用戶代理髮生更改,請刪除該會話。
- 同上,但帶有IP地址。令人討厭的是有很多ISP提供動態IP,會話可以被非法刪除。
- 設置低會話超時。這不會阻止會話劫持,但會降低風險。當心,這可以惹惱用戶。
- 設置低會話生存期(1天)。這將迫使用戶在1天后重新進行身份驗證,因此即使會話被劫持,也不會被劫持超過一天。
記住這些建議不會阻止會話劫持。他們將大大降低風險,但總會有風險,除非您使用HTTPS。
+0
我不會刪除會議,但只是創建一個新的。 – Gumbo 2009-08-04 09:03:11
相關問題
- 1. 如何保存PHPSESSID?
- 2. 如何使用PHP PHPSESSID
- 3. 如何保護PHP文件
- 4. 如何在php中密碼保護zip?
- 5. 如何在PHP中保護課程
- 6. php腳本如何處理兩個PHPSESSID?
- 7. PHP 5 Hashalgorythm爲PHPSESSID
- 8. 保護在PHP
- 9. PHP保護
- 10. PHPSESSID未保存到cookie
- 11. PHPSESSID是如何生成的?
- 12. 我如何保護這個PHP腳本?
- 13. 如何保護PHP免受揹負?
- 14. 如何保護ajaxRequest.open php腳本
- 15. 如何保護這個PHP表格
- 16. 如何使用PHP保護目錄?
- 17. 如何保護從php訪問目錄?
- 18. 保護PHP文件
- 19. 保護PHP代碼
- 20. PHP腳本保護
- 21. PHP - 保護代碼
- 22. php csrf保護庫
- 23. PHP密碼保護
- 24. PHP頁面保護
- 25. 保護api PHP/JQUERY?
- 26. PHP密碼保護
- 27. 如何重命名PHPSESSID?
- 28. 如何更改PHPSESSID Cookie域?
- 29. 如何保護熵?
- 30. 如何保護Elasticsearch
哦,我的意思是,防止會話劫持的東西..嗯,我是新來這個會議的東西雖然.. – bbtang 2009-08-04 08:39:17