анти меры хакерские
Я полностью согласен с scopey, но было бы пойти еще дальше и удалить старый файл сессии используя session_regenerate_id(true);
, поскольку это сообщает php об удалении ассоциативных (s) файлов для этого сеанса на диске. Зачем хранить файлы на сервере, которые больше не нужны?
Еще одна антишпионская хакерская мера состоит в том, чтобы хранить первые два октета клиента ip (может быть больше, если они хорошо зашифрованы, но у меня еще не так много знаний о конфиденциальности данных) и может содержать больше сведений о клиенте в базе данных, которая будет по сравнению с текущими деталями клиента. Эти данные, особенно ip, должны быть зашифрованы, и как только сессия устареет, будет полностью удалена.
вывод
Есть несколько способов проверки авторизации и все они об использовании протокола HTTPS, регенерирующее идентификатор сеанса, удаления устаревших файлов сессий и детали магазина клиентов по первому требованию на сервере для того, чтобы сравнить их с текущими деталями клиента.
Сколько потребуется вашей безопасности зависит от цели приложения. Когда дело доходит до банковских данных, например. вам лучше реализовать больше анти-хакерских мер, чем вы считаете нужным. Простой блог, где зарегистрированные пользователи могут комментировать только вам не нужно много анти-хакерских мер.
иметь в виду
Чем больше обезопасит вас приложение является менее удобным для пользователя это.
@Scopey является правильным. Только с помощью HTTP-соединения. – YyYo