我现在读了一个指南,我对此感到困惑:
为了解决这个弱点,有助于理解问题的范围.会话固定只是一个绊脚石 - 攻击的目的是获取可用于劫持会话的会话标识符.当被劫持的会话具有比攻击者通过合法手段获得的更高级别的权限时,这是最有用的.此级别的权限可以像登录一样简单.如果每次权限级别发生更改时都会重新生成会话标识符,则实际上会消除会话固定的风险:
<?php
$_SESSION['logged_in'] = FALSE;
if (check_login())
{
session_regenerate_id();
$_SESSION['logged_in'] = TRUE;
}
?>
如果我理解正确的这个,我只需要做出一个session_regenerate_id()我以前赋值像logged_in = true或user_id = id然后我做了对会话固定保护?
这够了吗?我还可以做些什么?