我目前正在开发基于PHP浏览器的游戏。我已完成大部分脚本,但我担心有人可以轻易地“破解”#39;会议。
当用户登录并且密码正确时,$_SESSION['logged']将变为' 1'。用户将被重定向到profile.php。
如果$_SESSION['logged']等于' 1',则会显示个人资料。但是,如果$_SESSION['logged']不存在,则用户将被重定向回index.php。
我担心用户可以破解$_SESSION['logged']。
此外,还有$_SESSION['username']。大多数时候我使用$_SESSION['username']从数据库中获取信息。如果$_SESSION['username']被更改/黑客攻击,那么“黑客”会被更改/黑客攻击。将不会成为'另一个人#39;
我听说过session_regenerate_id和session_id()。但是,我不知道放在哪里。
谢谢,
答案 0 :(得分:3)
session_regenerate_id 使用新生成的会话ID更新当前会话ID。例如,如果您希望每隔 10刷新会话ID,这可能很有用分钟或更改与会话关联的用户的真实性状态后。
你应该知道
如果您想了解更多信息,请查看PHP security