私は慈善団体のための小さな内部 Web サイトを持っています。これは、ドキュメントと勤務表にアクセスするためのスタッフ ログインでした。特定のユーザーのみを対象としていますが、Web上にあるため公開されているため、セキュリティについてはまだ考えています. 私はあまり経験がないので、以下についてあなたの意見が必要です。
ユーザーがログインするとき、私は常に 2 つの Cookie を保存してきました。1 つ目はユーザー ID で、2 つ目は Cookie ID であるため、ユーザー ID を変更してログインすることはできず、Cookie ID が一致する必要があります。ページごとにデータベースと比較しています。問題は、Cookie ID が単なる乱数であるため、PC が各ユーザーの一致する ID を見つけるために、数十万の組み合わせの範囲を循環するのに時間がかからないことです。では、どうすればこれを止めることができますか?PHP の uniqid で十分でしょうか?
SQL インジェクション以外に検討すべき攻撃 (既に防止済み)
ありがとう