ソルト (ランダムな文字列) を作成し、それをユーザー ID 文字列に追加し、md5 (または他の暗号化) して、同じ結果を Cookie およびセッション変数として保存し、安全なページに php スクリプトを含めて作成できますか? Cookie 変数とセッション変数の両方が一致することを確認しますか?
これは安全でしょうか?
質問する
126 次
1 に答える
0
session_start()呼び出しを使用して PHP にセッション ID を自動的に生成させることほど安全ではありません。
セッション ID を使用して Cookie を盗む人に対しては、依然として脆弱です。
セキュリティを強化するには、HTTPS を使用し、Cookie を HTTP 専用としてマークして、javascript がアクセスできないようにします。ユーザーの IP をセッション変数に保存し、IP アドレスが Cookie を送り返したユーザーのリモート アドレスと一致することを確認することもできます。
于 2015-02-18T09:43:25.490 に答える