我正在使用PHP进行RIA.为了防止会话劫持,我引入了一个基于盐,ISO-8601周数和用户IP的登录时生成的令牌.
$salt = "blahblahblah";
$tokenstr = date('W') . $salt . $_SERVER['REMOTE_ADDR'];
$token_md5 = md5($tokenstr);
define("token_md5", $token_md5);
目前,它通过GET或POST传递每个请求,但我想知道我是否可以通过提供它作为cookie来避免这种情况,因为它依赖于用户的IP.我刚刚学习课程,所以我想知道这样做是否有任何安全问题?这是个坏主意吗?