2
私はPHPSESSIDをどう保護するかについて本当に無知です。 session_idの値はPHPSESSIDから来ますか? session_idが侵害された場合、それは悲惨です。誰にでもアイデアはありますか?ここでPHPでPHPSESSIDを保護するには?
A
答えて
3
は、PHPでのセッションのセキュリティを説明するPHPマニュアルからの記事です:link
おそらくあなたのセッションを保護するための最も効果的な方法は、あなたのサイト上でSSLを有効にすることやクッキーにセッションIDの保存を強制します。その後、クッキーは暗号化され、サイトに渡され、十分な保護が保証されます。
0
session_idは、ユーザーシステムのCookieに格納されます。あなたはそれを保護することによって何を意味するか分かりません。
2
RaYellが言ったようにあなたは、HTTPSを使用することができますが、証明書を買う余裕ができない場合でもHTTPとのセッションを確保するためのいくつかの方法があります。
- ストアのセッションでユーザーエージェントは、ときにセッションを作成します。リクエストごとにユーザーエージェントを確認してください。ユーザーエージェントが変更された場合は、セッションを削除します。
- 上記と同じですが、IPアドレスを使用しています。面倒なことに、多くのISPが動的IPを提供しており、セッションを違法に削除することができます。
- セッションタイムアウトを低く設定します。これにより、セッションのハイジャックは防げませんが、リスクが軽減されます。注意してください、これはユーザーを悩ますことができます。
- セッションの有効期間を低く設定します(1日)。これにより、ユーザーは1日後に再認証されるため、セッションがハイジャックされても、1日以上ハイジャックされることはありません。
これらのアドバイスは、セッションのハイジャックを防ぐことはできません。彼らは劇的にリスクを減らしますが、HTTPSを使用しない限り、常にリスクが存在します。
+0
私はセッションを削除しませんが、ただ新しいものを作成します。 – Gumbo
関連する問題
- 1. PHPページ保護
- 2. PHPセッションでページを保護
- 3. パスワードでPHPファイルを保護する
- 4. PHPでASXファイルを保護する
- 5. PHP OOPはプライベート保護
- 6. php csrf保護ライブラリ
- 7. PHPコードの保護
- 8. PHP - ソリューション - ファイルパスワード保護
- 9. PHPSESSIDがクッキーに保存されない
- 10. PHP + htaccess:PDFファイルを保護する
- 11. ユーザーからPHPファイルマネージャを保護する
- 12. AJAX-> PHP Webサービスコールを保護する
- 13. クライアントマシンにデプロイされたphp/mysqlアプリケーションを保護するには?
- 14. 私を保護するPHPのsession.referer_checkとは何ですか?
- 15. VPSでアプリケーションを保護するには?
- 16. Nginx - パスワード保護PHPスクリプト
- 17. PHP SQLインジェクションの保護
- 18. PHP Webサービスコールの保護
- 19. phpセキュリティ保護とプライベート
- 20. phpファイルの保護方法
- 21. PHPSESSIDとは何ですか?
- 22. PHP $ _SESSIONデータを保護しますか?
- 23. PHPSESSID Cookieドメインを変更するには?
- 24. PHPフォームを保護するにはどうすればよいですか?
- 25. PHPはウェブページを保護するのに十分な$ _SESSIONですか?
- 26. Membaseを保護するには?
- 27. SSLなしでPHPサーバへの接続を保護する
- 28. PHPでフェッチされたデータを保護する
- 29. PHPからパスワードで保護されたスプレッドシートを生成するには?
- 30. APACHEで動作するPHP for LANのWindowsマシンを保護する方法は?
ああ、私は、セッションのハイジャックを防止することを意味しています..まあ、私はこのセッションのものにもかかわらず.. – bbtang