我对如何保护PHPSESSID非常无能。 session_id的值是否来自PHPSESSID?如果session_id受到威胁将会是灾难性的。有人有主意吗?如何保护PHP中的PHPSESSID?
2
A
回答
3
下面是PHP手册中的一篇文章,解释了PHP会话安全:link
可能保护你的会议将是使您的网站的SSL和饼干会话ID迫使存储的最有效途径。然后,cookies将被加密,因为它们将传递到您的网站,并应保证足够的保护。
0
session_id存储在用户系统的cookie中。不确定你的意思是保护它。
2
您可以使用HTTPS作为RaYell说,但如果你买不起的证书,还有一些方法,以确保即使在HTTP会话:
- 商店的用户代理在会话时创建会话。检查每个请求上的用户代理。如果用户代理发生更改,请删除该会话。
- 同上,但带有IP地址。令人讨厌的是有很多ISP提供动态IP,会话可以被非法删除。
- 设置低会话超时。这不会阻止会话劫持,但会降低风险。当心,这可以惹恼用户。
- 设置低会话生存期(1天)。这将迫使用户在1天后重新进行身份验证,因此即使会话被劫持,也不会被劫持超过一天。
记住这些建议不会阻止会话劫持。他们将大大降低风险,但总会有风险,除非您使用HTTPS。
+0
我不会删除会议,但只是创建一个新的。 – Gumbo 2009-08-04 09:03:11
相关问题
- 1. 如何保存PHPSESSID?
- 2. 如何使用PHP PHPSESSID
- 3. 如何保护PHP文件
- 4. 如何在php中密码保护zip?
- 5. 如何在PHP中保护课程
- 6. php脚本如何处理两个PHPSESSID?
- 7. PHP 5 Hashalgorythm为PHPSESSID
- 8. 保护在PHP
- 9. PHP保护
- 10. PHPSESSID未保存到cookie
- 11. PHPSESSID是如何生成的?
- 12. 我如何保护这个PHP脚本?
- 13. 如何保护PHP免受背负?
- 14. 如何保护ajaxRequest.open php脚本
- 15. 如何保护这个PHP表格
- 16. 如何使用PHP保护目录?
- 17. 如何保护从php访问目录?
- 18. 保护PHP文件
- 19. 保护PHP代码
- 20. PHP脚本保护
- 21. PHP - 保护代码
- 22. php csrf保护库
- 23. PHP密码保护
- 24. PHP页面保护
- 25. 保护api PHP/JQUERY?
- 26. PHP密码保护
- 27. 如何重命名PHPSESSID?
- 28. 如何更改PHPSESSID Cookie域?
- 29. 如何保护熵?
- 30. 如何保护Elasticsearch
哦,我的意思是,防止会话劫持的东西..嗯,我是新来这个会议的东西虽然.. – bbtang 2009-08-04 08:39:17