2

ユーザーがアカウントを作成すると、データベースから一意で自動インクリメントされるユーザーIDが与えられます。したがって、最初のユーザーのユーザーIDは1で、作成された2番目のユーザーのユーザーIDは2というようになります。サインインしたときにユーザーIDを保存して、サインインしたままにするためにPHPセッションを使用しています。いくつかの記事を読んだ後、PHPセッションをこれまでのように脆弱にしたくないということがわかりました(簡単です)。ハッカーが各ユーザーのphpセッションユーザーIDを判別するために、私の質問は、一意のユーザー名に基づいてmd5またはblowfishを使用して、各ユーザーのユーザーIDを生成する場合、PHPセッションを安全にするかどうかです。

4

1 に答える 1

1

常にログイン画面を表示し、ログイン後すぐに乱数を使用して生成された新しいセッションIDを強制することをお勧めします。

session_start();
$newsessid = somerandomnumberfunction();
session_id($newsessid);

session_regenerate_id()関数を使用して新しいIDを生成することもできます

session_start();
session_regenerate_id();

良い読み物

PHPセッションセキュリティ

PHPセキュリティガイド:セッション

于 2012-10-03T17:51:36.950 に答える