Php 这种会话管理/身份验证方法好吗？_Php_Session_Authentication

Php 这种会话管理/身份验证方法好吗？

php session authentication

Php 这种会话管理/身份验证方法好吗？,php,session,authentication,Php,Session,Authentication,当用户登录时，将生成随机会话ID，并将其存储在其数据库表行和会话变量中。在访问站点的任何经过身份验证的部分之前，需要检查存储在会话变量中的会话ID是否与用户表行中的会话ID相同。我的问题是，这比在会话变量中设置布尔标志更安全吗谢谢稍微安全一点。现在，攻击者必须能够读取您与客户端通信的某些部分（例如，坐在他们的办公室外面，使用WiFi嗅探器，或者坐在麦当劳的下一张桌子上，或者坐在公共汽车上他们旁边）不过，这仍然不是一个特别好的主意。首先，谷歌“重播攻击”…MITM攻击不是针对身份验证协议的，

当用户登录时，将生成随机会话ID，并将其存储在其数据库表行和会话变量中。在访问站点的任何经过身份验证的部分之前，需要检查存储在会话变量中的会话ID是否与用户表行中的会话ID相同。
我的问题是，这比在会话变量中设置布尔标志更安全吗

谢谢

稍微安全一点。现在，攻击者必须能够读取您与客户端通信的某些部分（例如，坐在他们的办公室外面，使用WiFi嗅探器，或者坐在麦当劳的下一张桌子上，或者坐在公共汽车上他们旁边）

不过，这仍然不是一个特别好的主意。首先，谷歌“重播攻击”…

MITM攻击不是针对身份验证协议的，而是针对传输安全性的，因此您的答案没有多大意义。存储在会话字典中的会话变量是通过HTTP cookie从客户端接收会话id时设置的简单内存字典。该会话id已经随机生成，具有较大的密钥空间，或者用户可以猜测彼此的会话id，因此生成新会话id完全是浪费和不必要的。让PHP和您得到的任何框架来处理身份验证。确保使用HTTPS加密传输，这样您就足够安全了。