0

场景:在我的网站上开始会话后,我生成了一个 rand 令牌,该令牌显示给用户一次。说他们将其“存储”起来以备后用。然后,我将 md5(token) 插入带有时间戳的 SQL 中。当用户访问其他页面(如登录)时,他们必须通过 URL 传递令牌作为验证过程的一部分。我会检查令牌是否存在,并可能更新此令牌的用户 ID。

所以。即使有人窃取了用户的 PHPSESSID cookie,由于他们在不知道令牌的情况下无法访问这些页面中的任何一个,这对黑客来说不会有任何好处吗?

4

1 回答 1

1

您是对的,他们将无法在没有令牌的情况下访问页面,但作为补充,有时我想同时使用 IP 跟踪或浏览器跟踪。

理由是即使有人获得了 PHPSESSID cookie 和令牌,他也必须来自相同的 IP 源并使用相同的浏览器。再说一遍,这些只是默默无闻的安全手段。

我建议如果您真的担心安全性,可以尝试使用 HTTPS 连接。希望它有所帮助。干杯!

于 2011-05-01T05:17:56.477 回答