php session安全问题分析``

周周猪猪 · 发表于 2011-7-25 11:20

攻击者通过投入很大的精力尝试获得现有用户的有效会话ID,有了会话id,他们就有可能能够在系统中拥有与此用户相同的能力.

因此,我们主要解决的思路是效验session ID的有效性.
以下为引用的内容：
复制代码代码如下:
<?php
if(!isset($_SESSION['user_agent'])){
$_SESSION['user_agent'] =$_SERVER['REMOTE_ADDR'].$_SERVER['HTTP_USER_AGENT'];
}
/* 如果用户session ID是伪造 */
elseif ($_SESSION['user_agent'] != $_SERVER['REMOTE_ADDR'] .$_SERVER['HTTP_USER_AGENT']) {
session_regenerate_id();
}
?>

天上智喜 · 发表于 2011-7-28 11:12

刚才我还看见了呢.

帐号		自动登录	找回密码
密码			成为会员