PHP会话欺骗/劫持

时间:2014-05-12 04:31:04

标签: php session

当有人登录我的网站时,他们显然会填写一个包含用户名和密码的表单。然后,表单检查数据库中是否存在(当然是该密码的加密版本),然后以该人的用户ID作为会话ID启动会话。

这是否容易受到任何形式的欺骗/劫持/黑客攻击?是否有一种更安全的方式来进行会话,以便没有人可以“登录别人的帐户”#34;错了?

        session_regenerate_id();

        $_SESSION['SESS_MEMBER_ID'] = $uid;
        $_SESSION['SESS_NAME'] = $email;

        session_write_close();

1 个答案:

答案 0 :(得分:1)

您最好的选择是检查用户或其用户代理的IP地址。

当然,如果他们的IP地址发生变化,他们将不得不重新进行身份验证。例如,如果智能手机上的用户离开其WiFi范围并开始使用其蜂窝网络。我认为安全性可以为一小部分用户带来的轻微不便带来回报。