Php 是否有现成的会话劫持保护API？_Php_Security

Php 是否有现成的会话劫持保护API？

php security

Php 是否有现成的会话劫持保护API？,php,security,Php,Security,我研究了许多讨论防止会话劫持和固定的线程，但我觉得总有一些细节我遗漏了我所寻找的是与HTML净化器针对XSS所做的原理相同的东西，但在本例中是针对会话劫持和固定的是否有任何人制作的API或PHP类涵盖了防止会话劫持和固定所能做的一切还是我自己做比较好提前谢谢。关于最好自己做一个。这可能会更困难，最终也没什么作用，但框架和API可以从那些将要进行高性能测试的人那里访问尝试加密您的会话并以这种方式工作。安全性要求对平台及其数据库的体系结构进行剧烈更改。会话劫持是指攻击者能够读取用户会话co

我研究了许多讨论防止会话劫持和固定的线程，但我觉得总有一些细节我遗漏了

我所寻找的是与HTML净化器针对XSS所做的原理相同的东西，但在本例中是针对会话劫持和固定的

是否有任何人制作的API或PHP类涵盖了防止会话劫持和固定所能做的一切

还是我自己做比较好

提前谢谢。关于

最好自己做一个。这可能会更困难，最终也没什么作用，但框架和API可以从那些将要进行高性能测试的人那里访问

尝试加密您的会话并以这种方式工作。安全性要求对平台及其数据库的体系结构进行剧烈更改。会话劫持是指攻击者能够读取用户会话cookie，并将该会话cookie用作访问应用程序的手段。防止攻击者这样做的唯一方法是对所有内容使用HTTPS。没有API可以使用，因为应用程序可以不做任何事情来阻止别人窃取会话cookie，如果它们可以在中间情况下建立人。

< P>我确信你正在搜索一个等于> Session的解决方案。Cookie HypPult< /Cuff>设置为1。< /P> 还有可能是

会话。另外（但不要改为！）只使用cookies
在这种情况下，会话的cookie将始终对JS隐藏
更新：阅读Billy ONeal关于HTTPS的回答和评论
Was:Billy ONeal提到的HTTPS是一个额外的东西，然后是这个问题的基础。中间人攻击是一种“昂贵”的攻击，所以如果你有一些数据需要保护以防访问者的ISP攻击，那么我认为你的网站已经支持HTTPS了。虽然被盗会话是一个常见问题。
-1:最好自己创建一个会话。
。。。人们不应该使用自己的加密。几乎无一例外，人们在这方面做得不好。开源框架得到了更好的测试，并得到了更多的人的审查。我所寻找的东西与HTML净化器对付XSS的原理相同
什么，你想逃避你的cookie吗？这到底是什么原则？嗨，我的意思是我想要一个“可以使用”的API，就像HTML净化器一样。很多API都可以使用，但你需要指定它需要做什么。不过，在XSS的情况下，Httponly cookies不会有什么坏处。@arxanas:当然可以。但XSS不是会话劫持。XSS通过诱使客户端做坏事（可能包括向攻击者发送会话cookie）来实现攻击。但这并不是人们在谈论“劫持事件”时通常说的话。中间人不是一个“昂贵”的攻击——同一网络段的任何人都能轻易地进行攻击。如果你不在同一个网段上，这就有点困难；但它绝不要求攻击者“是ISP”。会话密钥是用户的身份，安全性要求对其进行保护。@BillyONeal我同意，我的回答中有一个概括。有争议的观点。