方案: 在我的网站上开始会话后,我生成一个向用户显示一次的rand令牌。假设他们“存储”它以供以后使用。 然后,我使用时间戳将md5(令牌)插入SQL。 当用户访问登录等其他页面时,他们必须通过URL传递令牌作为验证过程的一部分。我会检查令牌是否存在,并且可能将UPDATE userid更新为此令牌。
因此。即使有人窃取用户的PHPSESSID cookie,也不会对黑客有任何好处,因为他们在不知道令牌的情况下无法访问任何这些页面?
答案 0 :(得分:1)
你是对的,他们将无法在没有令牌的情况下访问这些页面,但作为一个附加点,有时我也想同时使用IP跟踪或浏览器跟踪。
理由是即使有人获得了PHPSESSID cookie和令牌,他也必须来自同一个IP源并使用相同的浏览器。然后,这些只是默默无闻的安全手段。
我建议如果您真的关心安全性,可以尝试使用HTTPS连接。希望它有所帮助。干杯!