私はPHPSESSIDをどう保護するかについて本当に無知です。 session_idの値はPHPSESSIDから来ますか? session_idが侵害された場合、それは悲惨です。誰にでもアイデアはありますか?ここでPHPでPHPSESSIDを保護するには?
2
A
答えて
3
は、PHPでのセッションのセキュリティを説明するPHPマニュアルからの記事です:link
おそらくあなたのセッションを保護するための最も効果的な方法は、あなたのサイト上でSSLを有効にすることやクッキーにセッションIDの保存を強制します。その後、クッキーは暗号化され、サイトに渡され、十分な保護が保証されます。
0
session_idは、ユーザーシステムのCookieに格納されます。あなたはそれを保護することによって何を意味するか分かりません。
2
RaYellが言ったようにあなたは、HTTPSを使用することができますが、証明書を買う余裕ができない場合でもHTTPとのセッションを確保するためのいくつかの方法があります。
- ストアのセッションでユーザーエージェントは、ときにセッションを作成します。リクエストごとにユーザーエージェントを確認してください。ユーザーエージェントが変更された場合は、セッションを削除します。
- 上記と同じですが、IPアドレスを使用しています。面倒なことに、多くのISPが動的IPを提供しており、セッションを違法に削除することができます。
- セッションタイムアウトを低く設定します。これにより、セッションのハイジャックは防げませんが、リスクが軽減されます。注意してください、これはユーザーを悩ますことができます。
- セッションの有効期間を低く設定します(1日)。これにより、ユーザーは1日後に再認証されるため、セッションがハイジャックされても、1日以上ハイジャックされることはありません。
これらのアドバイスは、セッションのハイジャックを防ぐことはできません。彼らは劇的にリスクを減らしますが、HTTPSを使用しない限り、常にリスクが存在します。
+0
私はセッションを削除しませんが、ただ新しいものを作成します。 – Gumbo
関連する問題
- 1. PHPファイルを保護するには?
- 2. PHPページ保護
- 3. PHPセッションでページを保護
- 4. PHPでASXファイルを保護する
- 5. パスワードでPHPファイルを保護する
- 6. PHP OOPはプライベート保護
- 7. PHPコード保護ライブラリ
- 8. PHPコードの保護
- 9. PHP - ソリューション - ファイルパスワード保護
- 10. php csrf保護ライブラリ
- 11. ユーザーからPHPファイルマネージャを保護する
- 12. AJAX-> PHP Webサービスコールを保護する
- 13. PHP + htaccess:PDFファイルを保護する
- 14. PHPとSlimのファイルアップロードを保護する
- 15. PHPSESSIDがクッキーに保存されない
- 16. htmページと部分的にPHPコードを保護するには?
- 17. クライアントマシンにデプロイされたphp/mysqlアプリケーションを保護するには?
- 18. 私を保護するPHPのsession.referer_checkとは何ですか?
- 19. VPSでアプリケーションを保護するには?
- 20. は、PHPで開くことからExcelを保護する
- 21. PHP SQLインジェクションの保護
- 22. パスワード保護PHPの場合
- 23. phpセキュリティ保護とプライベート
- 24. Nginx - パスワード保護PHPスクリプト
- 25. PHP Webサービスコールの保護
- 26. phpファイルの保護方法
- 27. 保護されたプロパティPHP
- 28. 直接アクセスからPHPのURLを保護するには?
- 29. PHPSESSIDとは何ですか?
- 30. PHPでパスワードで保護されたWebサービスに接続する
ああ、私は、セッションのハイジャックを防止することを意味しています..まあ、私はこのセッションのものにもかかわらず.. – bbtang