我是PHP的新手,我不熟悉会话管理.我正在创建一个电子商务网站,所以我需要创建一个防黑客会话.为此,我搜索了很多关于如何防止会话劫持的信息.我读过的消息来源建议我在代码中包含这些函数:
\\some saying to use this
session_start();
session_regenerate_id(true);
\\some others saying to use this
session_start();
session_regenerate_id();
...还要使用HTTPS/TLS.在另一个stackoverflow 文章中,我遇到了这些东西:
- 使用足够的随机输入来生成会话ID(请参阅session.entropy_file,session.entropy_length和session.hash_function)
- 使用HTTPS在传输过程中保护会话ID
- 将会话ID存储在cookie中,而不是存储在URL中,以避免通过Referer泄漏(请参阅session.use_only_cookies)
- 使用HttpOnly和Secure属性设置cookie以禁止通过JavaScript访问(如果是XSS漏洞)并禁止通过不安全通道进行传输(请参阅session.cookie_httponly和session.cookie_secure)
但我无法理解那些.这对我来说只是理论; 相反,我想要的是一些PHP代码做那些事情 - 或任何实现这些事情的网站,我可以看到的PHP代码和我们作为一个例子(理想情况下有一些解释与它一起).