【发布时间】:2015-02-18 09:33:36
【问题描述】:
可以创建一个盐(随机字符串),将其附加到用户 ID 字符串,然后 md5(或其他加密),将相同的结果保存为 cookie,并作为会话变量,然后在安全上包含一个 php 脚本页面以确保 cookie 和会话变量匹配?
这会安全吗?
【问题讨论】:
标签: php session cookies secure-coding
【发布时间】:2015-02-18 09:33:36
【问题描述】:
没有比让 PHP 使用 session_start() 调用自动为您生成会话 ID 更安全的方法了。
它仍然容易被他人使用会话 ID 窃取您的 cookie。
为提高安全性,请使用 HTTPS 并将 cookie 标记为仅限 HTTP,以便 javascript 无法访问它们。您还可以将用户的 IP 存储在会话变量中,并检查 IP 地址是否与向您发送 cookie 的用户的远程地址匹配。
【讨论】: