Moo*_*oon 7 php session-hijacking
当我读到有关会话劫持文章时,我了解到加密存储在cookie中的会话ID值会很好.
据我所知,当我通过调用启动会话时session_start(),PHP不会加密cookie中的会话ID值.
如何加密会话ID值然后用它初始化会话?
Mat*_*hen 19
加密无济于事.无论如何,会话cookie只是一个神奇的数字.加密它只是意味着有一个不同的魔法数字来劫持.根据您所考虑的劫持方案,还有其他可能的缓解措施.例如,您可以将会话限制为单个IP.然而,这会带来一些问题,例如人们在无线点之间切换.
更重要的是,您的会话ID是随机的(也就是说,有人不能使用他们的会话ID来猜测另一个人的身份),因为真正的危险是有人抓住了另一个用户的会话ID.只要你保持它们真正随机,就没有理由加密它