我正在做一些研究,在计算器上关于如何正确设置会话和阻止劫持等我找到了答案,有人张贴在的问题之一,他提供了下面的代码:PHP会话安全问题
因为当用户登录和用户名和密码匹配
$_SESSION['fingerprint'] = md5($_SERVER['HTTP_USER_AGENT'] .''. $_SERVER['REMOTE_ADDR']);
如果用户已登录,对受保护的页面检查:
if ($_SESSION['fingerprint'] != md5($_SERVER['HTTP_USER_AGENT'] .''. $_SERVER['REMOTE_ADDR'])) {
session_destroy();
header('Location: login.php');
exit();
}
这似乎很好地工作,但我的问题是:有多安全这一点,这是一个很好的方法,或者我应该试试别的?该帖子没有upvotes或任何东西,所以不知道它是否好。
而且,不知道如何获取有关该会话的用户信息...我需要在数据库中存储什么吗?
谢谢!
使用IP地址有它自己的问题。动态IP通常可以改变。如果您需要安全的解决方案,那么我认为使用HTTPS更好。 – Karolis