Php 保护会话id
我已经建立了我的第一个登录系统。用户输入用户名和密码,并为其提供会话id及其用户名和id 然后使用此用户名和id自定义他们看到的页面 每个用户的用户名和id基本上都是公共信息,但会话id只有在用户登录时才由系统生成 问题: 在这里使用会话id的安全风险是什么?这里的内容基本上是公开的,但要获得会话id,您必须登录 有人可以从其他人的公共id和用户名中伪造会话id,因为这是会话id包含的全部内容吗?这容易吗Php 保护会话id,php,session,Php,Session,我已经建立了我的第一个登录系统。用户输入用户名和密码,并为其提供会话id及其用户名和id 然后使用此用户名和id自定义他们看到的页面 每个用户的用户名和id基本上都是公共信息,但会话id只有在用户登录时才由系统生成 问题: 在这里使用会话id的安全风险是什么?这里的内容基本上是公开的,但要获得会话id,您必须登录 有人可以从其他人的公共id和用户名中伪造会话id,因为这是会话id包含的全部内容吗?这容易吗 Php自身的会话功能非常好,会话信息不是与用户一起存储的,而是存储在服务器上,会话id有点
Php自身的会话功能非常好,会话信息不是与用户一起存储的,而是存储在服务器上,会话id有点像密码 如果你想知道会话的安全性,我强烈推荐
基本上会话是足够安全的,但是如果你对服务器和用户有足够的了解,你可以破解它,但这是一个漫长而艰难的过程,大多数系统都无法提供足够的信息来破解会话。由于会话ID用于在使用用户名和密码进行初始用户身份验证后对用户进行身份验证,因此会话ID是新的身份验证密钥,因此必须加以保护
由于在大多数情况下(PHP使用128位、160位或其他,具体取决于),可能的会话ID的范围是已知的,但在合理的时间内无法利用整个范围,因此更容易对诸如或之类的会话进行自适应攻击。还有众所周知的。Google用于防止会话劫持和会话固定。+1,尽管有足够好的方法来防止此类会话劫持(通过猜测sid),这几乎完全是浪费时间。