我正在开发智能手机的WEB-APP,并且在登录过程中遇到了一些问题。
假设用户已经注册,用户需要在我的网站上做的第一件事就是使用用户名和密码登录门户网站。 该用户名和密码被发送到php登录函数,该函数根据salt值等检查信息是否正确。 如果信息正确,则会创建以下项目并且用户已登录。
$_SESSION['user']=$id;
$cookieLifetime = 365 * 24 * 60 * 60; // A year in seconds
setcookie(session_name(),session_id(),time()+$cookieLifetime);
稍后在网站中,用户使用会话调用数据库来提取与该用户相关的信息。
例如,我正在为AGENTS构建客户经理系统,其中AGENTS可以将客户信息存储到我们的数据库中。每个客户端都有一个与之关联的代理ID,这是在网站上注册时ID和AGENT接收的ID,当AGENT登录时,该ID也存储在会话中。 当代理登录到其门户时,php脚本进行数据库调用并返回与代理ID号关联的所有客户端。
是否有人可以篡改会话ID?如果是这样,我该怎么做才能解决它?
答案 0 :(得分:1)
只是一些提示(您没有提供必须修复的详细信息):
不要在GET-Vars中使用Session-ID
提供终止会话的注销按钮。
减少会话超时值(例如30分钟)。
由于会话在cookie到期之前无效,因此cookieLifetime值并不重要。