Security 安全会话

我知道SO传统上不是这样使用的（或者可能是这样），但我一直在学习webapp安全性，并认为从SO专家那里听到他们对这篇文章的看法将是一件好事，也是一件令人鼓舞的事（我现在正在读这篇文章，它是关于会话安全的）

也许我们可以进行某种形式的讨论，指出作者错误陈述/忘记了什么，还有哪些更好的做法

---

例如，当涉及到不同的安全主题（如sql注入）时，许多人建议使用mysql\u real\u escape\u strings，但专家会告诉您，没有什么比预先准备好的语句更好。从评论来看，这篇文章似乎有它的问题，所以我想知道他的内容到底是好是坏

我认为这篇文章很好，但是这些只是基本概念，如果有人认真地尝试开发一个具有安全意识的应用程序，类似的事情将会得到解决。换句话说，文章的水平相当低

这里不讨论中间人攻击之类的问题（尽管我可以想象这样的问题通常超出了应用层的范围）。另一个可能的漏洞是随机数生成。因此，根据会话密钥生成的实现，会话密钥的熵可能比最大可能熵低很多，这可能使暴力攻击变得可行，也可能不可行

因此，这实际上取决于您的安全需求，解决方案将是怎样的，没有一个单一的安全解决方案在所有情况下都有效。要应用后者，假设您有一个有效的会话id，并且知道会话绑定到哪个ip。还假设本例中的目标是一家银行。现在我可以执行向我的帐户转账的请求，并通过欺骗我的ip地址和提供被盗会话来实现这一点。好的，我的请求的回复永远不会到达，因为IP地址是伪造的，但是谁在乎呢，自从服务器接受了我的请求，我就拿到了钱

---

关键是，根据上下文的不同，您的安全需求和安全解决方案可能会有很大的不同。

这需要是一个社区wiki。请编辑您的问题并选中相应的框。社区Wiki是否与问题具有相同的可见性？@Chris，是的，CW问题具有相同的可见性。