После входа в систему cookie устанавливается PHP. Но текст в cookie одинаковый для пользователя. Так что, если кто-то получит cookie, тогда можно легко войти, используя куки-файл пользователя, который он получил.Как защитить файлы cookie, созданные PHP после входа в систему
Хотя я обнаружил, что невозможно установить или отредактировать файл cookie в браузере. Но если кому-то (возможно, хакеру) удастся редактировать/заменять куки-файлы, он может легко войти в систему.
Я пробовал шифрование XOR, но это не имеет никакого значения.
Как я могу лучше защитить свой сайт?
HTTP через TLS (ранее именовавшаяся SSL). Также известен как HTTPS. Все остальное - пустая трата времени. –
Использование 'Sessions' не файлов cookie. Сеансы хранятся на стороне сервера и идентифицируются с помощью уникального идентификатора (если вы хотите атаковать грубой силой по этой отдельной теме). – chris85
@ SverriM.Olsen HTTPS обеспечит (значительно уменьшит) данные от человека в средней атаке, но не от более поздних запросов, когда злоумышленники изменят файл cookie, или я неправильно понимаю вопрос? – chris85