0

可以创建一个盐(随机字符串),将其附加到用户 id 字符串,然后是 md5(或其他加密),将相同的结果保存为 cookie,并作为会话变量,然后在安全页面上包含一个 php 脚本来制作确定 cookie 和会话变量都匹配吗?

这会安全吗?

4

1 回答 1

0

没有比让 PHP 使用调用自动为您生成会话 ID 更安全的方法了session_start()

它仍然容易受到使用会话 ID 窃取您的 cookie 的攻击。

为了更好的安全性,请使用 HTTPS 并将 cookie 标记为仅限 HTTP,这样 javascript 就无法访问它们。您还可以将用户的 IP 存储在会话变量中,并检查 IP 地址是否与向您发送 cookie 的用户的远程地址匹配。

于 2015-02-18T09:43:25.490 回答