重複の可能性:
PHP セッション セキュリティ
PHP で最初の Web サイトを開始したとき、user_id をセッションに直接保存していました。私は幸せでした、すべてがうまくいっていました。ユーザーがログインしているかどうか、またはアクセスする権限があるページにアクセスしているかどうかを確認できます。私のシステムが完全に安全ではないという痛ましい事実を発見するまで。そこで、解決策を探し始めました。多くの投稿と提案された解決策を見つけましたが、常に欠点がありました.ユーザーアカウントのセキュリティに関するものであるため、小さなエラーでさえコストがかかるため、欠点を受け入れるべきではないという状況にあります.
これまでに見つけた戦略は次のとおりです。
- IPアドレスを確認しています。
- ユーザー エージェントを確認しています。
- 短い期間ごとに session_id を再生成します。
- ソルト MD5 ハッシュとフィンガープリント。
- SSL と HTTPS。
- 上記のいくつかの混合物。
これらのいずれかが信頼されていることを証明しない限り。
2 日間の検索の後、私は最終的にこう言いました。最も一般的な方法は何ですか? Stackoverflow または Facebook は何を使用していますか?
私は Symfony2 をフレームワークとして使用しています。ドキュメントを確認しましたが、セッション セキュリティに関する組み込みのものが見つかりませんでした。Symfony2 の専門家が私を助けてくれますように。
この問題は新しいものではないので、たくさん読んで疲れました。直接のアドバイスや役立つリンクをいただければ幸いです。今日、人々はより多くの経験を積んだと思います。