0
A
回答
1
使用PHP会话而不是cookie。会话变量是服务器端的。 PHP将自动处理会话管理。如果你想要更多的控制,你也可以重载它的功能。
http://php.net/manual/en/intro.session.php
session_start();
$_SESSION['user'] = 'michael'
使用PHP的会话,只有会话标识符存储在浏览器Cookie。您可以将任何信息存储在超全局变量$_SESSION中,并且浏览器将无法查看或篡改这些变量。
为了更加安全,您应该存储用于登录的远程地址,并在每次页面加载时进行比较。这是为了确保没有人劫持会话ID并假装从另一个位置登录。
session_start();
if (_logging_in__) {
$_SESSION['user'] = 'michael'
$_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
}
要查看用户是否登录。
session_start();
if (isset($_SESSION['user'])) {
// the user is logged in
if ($_SERVER['REMOTE_ADDR'] != $_SESSION['ip']) {
// the session id was hijacked so log out
session_destroy();
exit;
}
}
+0
这并没有真正得到关注的根源;会话固定在很多情况下都很容易,所以它有什么重要*?两者都是“邪恶”。对? –
+0
为什么会议是邪恶的? – Michael
+0
[Session fixation](http://phpsec.org/projects/guide/4.html),打开不安全的wifi网络,[Firesheep](http://en.wikipedia.org/wiki/Firesheep)和wireshark,a设备和网络暴露服务的泛滥,安全执行不力或遭受隧道洞察。不算太差”。但是你并没有得到重要的改进。实际上,一些框架将会话数据*存储在浏览器的Cookie中*。那么它是干什么的? –
相关问题
- 1. 会话,cookie和安全
- 2. Expressjs安全会话cookie
- 3. 用于cookie和会话的php安全
- 4. Servlet的会话cookie篡改和安全
- 5. 龙卷风安全cookie过期(又名安全会话cookie)
- 6. Flash + pyAMF + Django会话cookie安全性
- 7. 安全会话Cookie + Glassfish的3.1
- 8. 安全会话Cookie未设置
- 9. Spring安全记忆服务会话Cookie
- 10. 如何使机架会话cookie安全?
- 11. 阅读Java中的安全会话cookie
- 12. 安全会话cookie为Rails应用
- 13. 基于Cookie的会话安全
- 14. php中的安全会话/ cookie
- 15. ASP.NET身份会话cookie有多安全?
- 16. 与jQuery安全获取会话cookie
- 17. 安全会话cookie不起作用
- 18. 创建安全的PHP会话cookie
- 19. WordPress Cookie安全性 - 持久性Cookie comment_author更改为会话cookie
- 20. .htaccess和安全会话?
- 21. PHP会话和安全
- 22. PHP REMOTE_ADDR和安全会话
- 23. 饼干,会话和安全
- 24. 在rails和安全会话
- 25. 会话管理和安全
- 26. 会话安全
- 27. 如何使用cookie和会话创建安全登录系统?
- 28. 发挥关于cookie和会话的框架安全问题
- 29. 如何添加到Azure会话Cookie HttpOnly和安全属性
- 30. 安全和的HttpOnly标志的会话cookie的Websphere 7
使用'session'取代'cookie' – Sky
你的意思是你检测通过用户名登录的用户在* *一个cookie存储在您的服务器上“安全”以外的其他地方?或者,您正在使用Cookie进行会话,并将用户名保存在cookie中会话标识的会话中? –
不使用cookie进行身份验证,使用会话它会自动设置cookie –