当有人登录我的网站时,他们显然会填写一个包含用户名和密码的表单。然后,表单检查数据库中是否存在(当然是该密码的加密版本),然后以该人的用户ID作为会话ID启动会话。
这是否容易受到任何形式的欺骗/劫持/黑客攻击?是否有一种更安全的方式来进行会话,以便没有人可以“登录别人的帐户”#34;错了?
session_regenerate_id();
$_SESSION['SESS_MEMBER_ID'] = $uid;
$_SESSION['SESS_NAME'] = $email;
session_write_close();
答案 0 :(得分:1)
您最好的选择是检查用户或其用户代理的IP地址。
当然,如果他们的IP地址发生变化,他们将不得不重新进行身份验证。例如,如果智能手机上的用户离开其WiFi范围并开始使用其蜂窝网络。我认为安全性可以为一小部分用户带来的轻微不便带来回报。