0

我有几个与我的项目有关的问题。我正在尝试创建一个安全的登录页面,但我遇到了会话问题。

1)。我可以session.php从每个文件中包含吗?安全吗?

登录.php:

<?php
    require_once('session.php');
    //all code
?>

会话.php:

<?php
    $session_name = '...'; 
    $secure = false; 
    $httponly = true; 
    ini_set('session.use_only_cookies', 1); 
    ini_set('session.entropy_file', '/dev/urandom'); 
    ini_set('session.entropy_length', '512');
    ini_set('session.use_only_cookies', 1); 
    $cookieParams = session_get_cookie_params(); 
    session_set_cookie_params($cookieParams["lifetime"], $cookieParams["path"], $cookieParams["domain"], $secure, $httponly); 
    session_name($session_name); 
    session_start(); 
    session_regenerate_id();   
?>

2)。够session.php安全吗?

4

1 回答 1

0

我想知道您为什么要设置ini_set('session.use_only_cookies', 1);两次,以及为什么不为会话设置安全标志。如果您要求安全,则使用 SSL 应该是基本步骤。

另外我想知道您是否知道在每个请求中重新生成会话 ID 的含义。通常的方法是仅在访问级别提升时重新生成它,即在登录期间或在使用管理员权限时。

除了这些评论,我看不到任何邪恶的事情发生。您确实激活了合理的设置。

于 2013-09-15T14:11:44.693 回答