我正在尝试了解保护我的网站免受攻击的好方法。我目前正在使用cookies方法。但是,经过一些网络研究,我发现由于安全原因,使用cookie并不好。所以我的另一个选择是使用会话。
我读了这篇文章Sessions and security。在Anurag Jain的回复中,他声明该网站应该使用https而不是http,以便会话ID不会被嗅探。
但有一些我不明白的事情。
用户登录网站时。我将运行查询以检查凭据是否与用户名和密码匹配。然后我会将一些信息存储到不同的会话中(即USER_ID,FULL_USER_NAME,TEAM_NAME,ACCESS_LEVEL)
登录并创建会话后,我可以在会话启动后创建session_id()。之后,我可以将会话与IP地址一起保存在数据库表中。但是在此之后,我每次都要进行安全检查,以确保该用户真正创建了会话而不是黑客?
如何保护网站,“如果会话ID被泄露,如果她/她能够复制相同的IP地址,攻击者是否可以使用它来登录?如果我想要很多用户,这又如何工作?从同一办公室“同一网络 - 相同的外部IP地址”使用它?
我从How to Create a bulletproof sessions获得了大量信息。