我在php中浏览了各种方法以防止会话固定和劫持,但我发现很难找出哪种方法可以依赖它。喜欢防止sql注入大多数开发人员建议使用prepare语句。它可以有效地防止大多数sql注入攻击。是否有任何此类代码,功能或代码段最好,快速和简单,以防止会话攻击。请分享。 谢谢你们 。
答案 0 :(得分:4)
有一些事情你可以做些帮助,例如,当设置cookie将它们设置为httponly时,它们无法从javascript读取,跟踪用户的ip地址,只允许访问会话,如果用户ip在他们启动会话的ip的某个范围内,当启动新会话重新生成会话ID而不是重用前一个会话时,跟踪用户浏览器,如果在会话期间发生更改,则不允许访问会话。我相信还有更多,但仅仅是我的头顶。
答案 1 :(得分:0)
不允许http协议,只允许https。
就是这样,它阻止了SESSID劫持......
RewriteEngine On
RewriteCond %{SERVER_PORT} !443
RewriteRule (.*) https://yourdomain.com/ [R]