PHP: Bir çerez olarak depolanan belirteci ile Oturum Kaçırma önlenmesi?

3 Cevap php

PHP bir DEA üzerinde çalışıyorum. Oturum ele önlemek için denemek için ben bir tuz kapalı tabanlı bir giriş oluşturulur belirteci, ISO-8601 hafta numarası ve kullanıcının IP tanıttı.

$salt      = "blahblahblah";
$tokenstr  = date('W') . $salt . $_SERVER['REMOTE_ADDR'];
$token_md5  = md5($tokenstr);
define("token_md5", $token_md5);

Şu anda, her isteği ile GET veya POST geçti, ama o kullanıcının IP bağlıdır beri, bir çerez olarak sunarak, bu önlemek olabilir merak ediyordum. Ben şimdi bunu yaparken herhangi bir güvenlik endişeleri varsa ben merak ediyorum, seans öğrenme yaşıyorum? Bu kötü bir fikir mi?

3 Cevap

Kullanıcı tutan herhangi bir veri çalıntı olabilir; Bir ziyaretçi gönderen herhangi bir veri sahte olabilir. Iyi oturumu açıldığında $_SESSION uzak IP saklamak ve her isteği ile uzak IP karşılaştırmak. Onlar uygun değilse, muhtemelen bir kaçırma. Yeni bir kimlik oluşturmak ve Lütfen kullanıcı günlüğü var

session_regenerate_id() oturum ele önlenmesi için mükemmeldir.

session_regenerate_id - yeni oluşturulan biriyle Geçerli oturum kimliğini güncelleyin

Sürekli her sayfa ziyareti için session_id döndürün. Çok zor bir sürekli hareketli hedefi kaçırmak için yapar.

Ben yaptım aynı yaklaşımla bir RIA yapmış, ve ben sadece güvenlik için uygulamaya SSL kurmak. Flex ve uzak Oturumsuz beri. Ben SSL kullanarak tavsiye edebilir. Benim co işçi de kullanıcı login / logout ile bir uygulama geliştirdik ve o aynı şeyi yaptı.

etiketler