在PHP中使用内置会话创建器是否安全?我担心有人可能会在另一台人机上劫持令牌cookie,并将其设置为完全相同,因此欺骗服务器以为他们是同一个人。
是否有保护(例如IP检查)来阻止这种情况,或者我应该使用更安全的东西吗?
答案 0 :(得分:1)
PHP不会执行任何IP检查,原因很简单,它不会100%无效。
所以是的,你可以劫持一个会话。如果要增加安全性,则需要在此基础上构建机制。看看http://phpsec.org/projects/guide/4.html的一些指示。
答案 1 :(得分:1)
是的,理论上可以在另一台人机上劫持令牌cookie,但事实上,世界上每个站点都在使用它。包括Stackoverflow。如果您劫持我的cookie,您可以登录我的帐户。那是什么?