当用户登录随机会话时,会生成ID并将其存储在其数据库表行以及会话变量中。在访问站点的任何经过身份验证的部分之前,检查会话变量中存储的会话ID是否与用户表格行中的会话ID相同。 我的问题是,是否比在会话变量中设置布尔标志更安全?
谢谢
答案 0 :(得分:0)
它稍微安全一些。现在,攻击者必须能够与客户端读取您的部分通信信息(例如,通过坐在办公室外面使用WiFi嗅探器,或者在麦当劳的下一张桌子旁,或者在公交车旁边的旁边)。 / p> 但是,这仍然不是一个特别好的主意。谷歌“重播攻击”,对于初学者来说......