我正在制作一个我希望尽可能安全的登录脚本.问题是,安全似乎是一场永无止境的战斗.基本上,我正在寻找我的想法的建议和改进.
我所拥有的是仅基于会话的登录.无论何时会话信息发生变化,session_regenerate_id()都会调用以避免明显的劫持尝试.
如果未设置会话,我会检查cookie以进行有效登录,并且在成功时,我会更新会话.
我尝试通过添加哈希值以及一段唯一的用户信息(如用户名或ID)来保护cookie.这个哈希由各种信息组成,包括用户名/ id,无法解密的密码哈希,IP地址的一部分等.通过从cookie中提取用户名/ id,我可以从有效的用户信息中创建一个新的哈希并比较使用cookie中的哈希值.我希望这里是防止假cookie和cookie劫持(除非他们也欺骗IP地址).
编辑假设登录本身将通过HTTPS/SSL完成,因此转移(合理)安全.
我是在正确的轨道上吗?还有什么可以保证我的登录?
谢谢您的帮助!