0

Cookie を使用してセッションを混合し、ユーザー名または ID とセッション ID という 2 つのセッション名を持つ多くのスクリプトを見てきました。

これは安全ですか?:

    if ($this->login($username, $password))
    {
        // everything works..
        $_SESSION['name'] = $username;
    }

新しいセッション ID を生成する必要があるのはなぜですか? なぜクッキーを混ぜるのですか?そして、ほとんどの攻撃を防ぐための最善の方法は何ですか?

4

3 に答える 3

0
  1. 一意のユーザーごとにセッション ID を生成するため、データは共有されません!
  2. Cookie を使用して、透過的なセッションを使用できるようにします。したがって、すべての URL でセッション ID を渡す必要はありません。
  3. このスレッドのコメントの一部を読む
于 2013-07-19T12:17:29.340 に答える
0

session_regenerate_id()を使用する場合、特に HTTPS を使用する場合、セッションは一般に安全であると見なされます。

他のすべてのセキュリティ問題はコードに依存します (-> データの処理方法):

  • ユーザー入力
  • データの保存方法 (pw/email)
  • ユーザーのログイン状態を維持する方法
  • 情報を渡す方法
  • ..
于 2013-07-19T12:23:57.660 に答える