我正在为我正在开发的网站创建一个登录脚本,并且正在使用PHP会话来验证用户身份.
我已将脚本设置为仅对cookie使用HTTP,并且仅使用cookie来存储会话ID.
基本上,我想知道两件事
1.我还有什么办法可以让我的登录更安全吗?
和
2. PHP手册说session_destroy()删除会话数据,但不会取消任何会话变量.如果是这种情况,它实际上是什么破坏,我应该在注销时手动取消设置会话变量吗?
谢谢你的帮助
编辑: 我使用免费托管,无法安装任何Apache插件或更改php.ini文件
编辑: 我已经读过使用SSL来阻止会话ID被盗,但我没有能力在服务器上安装OpenSSL,那么还有其他方法可以保护会话ID吗?