我试图弄清楚如何防止会话劫持。这就是我想做的事情:
除了用户 ID 会话,还添加一个用户代理和用户 IP 会话。每次加载页面时,都会检查这些会话以查看它们是否匹配 - 这是否足够?例如:
<?php
$userIp = $_SESSION['userIp'];
$userAgent = $_SESSION['userAgent'];
if ($userIp != $_SERVER['REMOTE_ADDR'] || $userAgent != $_SERVER['HTTP_USER_AGENT'] {
session_destroy();
}
?>
谢谢。
它比这复杂得多。您的站点/服务将被具有不同设置的各种人访问。可能出错的第一件事是有人正在通过代理服务器。您的应用程序将看到的 IP 可能会发生变化,并且会话对于有效用户来说将达到平衡。
如果您绝对需要对 IP 做一些事情,那么在不出现太多误报的情况下,您最多可以检查原始国家/地区。如果您检测到一个来自加拿大的登录和另一个来自印度的登录,则可能存在问题。即使这样,它也不是万无一失的。
用户代理也太容易伪造了:如果我能得到某人的PHPSESSIONID,那么我肯定也能得到他们的用户代理。所以这里没有做太多的事情。
保护某人会话的最佳方法是将所有经过身份验证的内容置于 HTTPS 之后,并确保会话 cookie 仅支持 HTTPS。
编辑:如果涉及到您在会话后面保护的数据非常敏感,并且您的用户需要注意这一点,您可以随时向他们显示为他们的用户登录的其他会话。例如,GMail 也做了同样的事情。
我同意z42
我还想建议一种方法,每次用户成功登录到您的站点时,您都可以生成一个 SALT 并将其存储在会话和您的数据库中,并设置条件来检查用户是否已经登录,用这个您不能阻止多个用户多次使用同一帐户登录并在用户注销时从数据库中销毁 SALT。