php - セッション ID の暗号化

Question

重複の可能性:
セッションのハイジャックを防ぐ最善の方法は何ですか?
Cookie でセッション ID (またはその他の認証値) を暗号化することはまったく有用ですか?

私のセッション ハンドラーは、セッション ID を Cookie に保存し、データベースへの参照として使用する Cookie の値を返します。

私の質問は短くて簡単です。Cookie でセッション ID を暗号化する必要がありますか?それとも意味がありませんか?

ありがとう！:)

Answer 1

これはまったく無意味です。セッション ID を暗号化しても、暗号化されたバージョンが Cookie 経由でサーバーに送信されます。誰かがそれを乗っ取りたい場合、暗号化されたセッション ID を盗み、サーバーに送信します。あなたのサーバーは喜んでそれを解読します。