0

我有一个慈善机构的小型内部网站,它是工作人员登录以访问文件和名单。尽管它仅适用于某些用户,但它位于网络上,因此是公开的,因此我仍在考虑安全性。我需要您对以下内容的意见,因为我不是很有经验。

当用户登录时,我总是存储两个 cookie。第一个是他们的用户 id,第二个是 cookie id,所以人们不能只更改用户 id 并登录,cookie id 需要匹配。它与每页的数据库进行比较。问题是 cookie id 只是一个随机数,PC 无需时间循环通过几十万个组合来为每个用户找到匹配的 ID。那么我该如何阻止呢?PHP 的 uniqid 是否足够好?

除了 SQL 注入(已经阻止)之外,我还应该考虑哪些其他攻击

谢谢

4

1 回答 1

0

将每个会话的客户端 IP 存储在服务器上。
如果会话的客户端 IP 发生变化,那就很可疑。

另一件事是让会话终生。
就像,如果在任意时间内什么都没有发生,则使会话无效。

最后但同样重要的是,只在会话数据库中存储一个随机 ID 并将其映射到用户,而不是将用户 ID 直接存储到 cookie 中。

于 2013-05-02T11:36:33.760 回答