Я искал в Интернете «как обеспечить PHP сессии» и наткнулся на этот PHP Session SecurityКак создать безопасный сеанс в сочетании с функцией «Запомнить меня»?
Первый ответ является очень хорошим ...
я, как и многие другие, которые ищут, как для создания безопасной функции «Запомнить меня».
Очень похоже на плакат связанных вопросов, я подумал, что было бы хорошо собрать всю информацию об этом в одном месте.
Если вы предполагаете, что я знаю PHP в среднем, то вы правы. Но я не очень разбираюсь в обеспечении сеансов PHP.
В любом случае, я знаю, как написать незащищенную функцию «Запомнить меня», которая проверяет значение cookie (которое может быть хэшировано) относительно хэшированного значения базы данных. Если они совпадают, пользователь все равно регистрируется. Простой, но опасный!
Как я могу защитить эту функцию «запомнить меня»?
любая функция «запомнить меня» по своей сути небезопасна. – zzzzBov
Итак, какая ставка, если бы у вас была функция «запомнить меня»? – 2010-11-05 20:47:55
Почему это опасно? Вы просто используете значение cookie и проверяете соответствие хеша в базе данных. Если кто-то может получить доступ к вашей базе данных, вам гораздо больше нужно беспокоиться, чем безопасность сеанса. – Shoe