ユーザーのセッションが作成される前にsession_regenerate_id()を使用することが常に推奨されるのはなぜですか。私の認識では、ユーザー セッション ID が作成されたら、session_regenerate_id() を使用する必要があり、ハッカーによるセッション固定攻撃を軽減するために、それを再生成する必要があります。
提案してください!!
質問する
371 次
2 に答える
1
どこから推奨を得たのかはわかりませんが、session_regenerate_idのマニュアルには、session_start の後に使用されていることが示されているので、あなたの仮定は正しいでしょう。
于 2012-11-02T22:25:33.997 に答える
0
私が読んだすべてのものから、 session_start() を何よりも先に呼び出す必要があります。主なアイデアは、毎回新しい ID を作成して、ハッカーが同じネットワーク上にいる場合、サイトへのエントリを取得するために使用する静的 ID を持たないようにすることです。これがどのように行われるかについての良い説明。
そして、これがビデオよりも詳細な優れた答えです。
于 2016-10-11T15:52:36.303 に答える