PHP安全会话

我目前正在开发一个web应用程序，我想让用户会话尽可能安全

---

我目前正在使用PHP的标准

$\u SESSION

数组来存储会话数据。我知道它存储一个名为

PHPSESSID

的cookie，然后在

$\u SESSION

数组中查找该cookie，但是添加一个具有唯一“salt”值的辅助cookie（针对每个会话或用户）然后将其与存储在

$\u会话

数组中的会话进行比较，使会话机制更安全？

使用单向加密（如md5）存储密码会话和cookie变量。添加额外的salt变量不会提高安全性，因为您最关心的问题是您的数据库会受到破坏。

您认为如何使其更安全？嗯，我在想，猜测会话ID会让劫持会话变得更加困难。我很好奇，你认为有人会如何猜测会话ID。此外，如果你对会话ID进行盐析，那么你需要调整会话函数，让他们知道如何找到会话ID，并使用算法对会话进行解码，以便PHP知道你传递回的ID。不要在会话中存储敏感数据。也欢迎使用SO-在将来，最好提供一些您尝试使用的代码，而不是提出这样一个开放性问题。这不是我的确切意思。我所想的是有两个cookie，一个叫做PHPSSSID，另一个比如salt，它包含为会话生成的salt值。然后，当PHP找到会话时，我会将存储在cookie中的salt值与存储在相应会话中的salt值进行比较。编辑：我还没有实现这个，我只是想知道是否值得花时间做这个。嗨，我目前正在使用PHP5.5 password_hash（）和password_verify（）函数。你认为我应该在这个溶液中加盐吗？如果是这样的话，我应该将这个变量存储在数据库中还是动态生成它？MD5不是一个合适的哈希算法，因为大多数哈希现在都可以被破解。