可能重复:
PHP 会话安全
当我使用 PHP 启动我的第一个网站时,我将 user_id 直接存储到会话中。我很高兴,一切都很顺利。我可以检查用户是否已登录,或者他是否正在访问他有权访问的页面。直到我发现我的系统完全不安全的痛苦事实。所以我开始寻找解决方案。我发现了很多帖子和建议的解决方案,但是,总是有缺点,我们不应该接受缺点,即使是微小的错误也会付出代价,因为它关系到用户的帐户安全性。
到目前为止,我发现的策略如下:
- 检查 IP 地址。
- 检查用户代理。
- 每个短周期重新生成 session_id。
- 盐渍 MD5 哈希和指纹识别。
- SSL 和 HTTPS。
- 以上这些的一些混合物。
除非您证明其中之一是可信的。
经过两天的搜索,我最终说:“那么现在呢?”。最常见的方法是什么?Stackoverflow 或 Facebook 使用什么?
我使用 Symfony2 作为框架,我检查了文档,但没有找到有关会话安全的内置内容。愿 Symfony2 专家帮助我。
我读了很多书,累了,因为这个问题不是新问题,所以任何直接的建议甚至有用的链接都将受到高度赞赏。我相信人们今天获得了更多的经验。