Безопасные сеансы в переполнении стека

Можно ли создать соль (случайную строку), добавить ее в строку идентификатора пользователя, затем md5 (или другое шифрование), сохранить тот же результат, что и в файле cookie, и в качестве переменной сеанса, а затем включить скрипт php на защищенных страницах, чтобы сделать уверены, что и cookie, и переменные сеанса совпадают?

Будет ли это безопасно?

0

Решение

Не более безопасно, чем позволить PHP автоматически генерировать для вас идентификатор сессии, используя session_start() вызов.

Это все еще уязвимо для того, чтобы кто-то украл ваш куки с идентификатором сессии.

Для большей безопасности используйте HTTPS и пометьте куки как только HTTP, чтобы JavaScript не мог получить к ним доступ. Вы также можете сохранить IP-адрес пользователя в переменной сеанса и убедиться, что IP-адрес соответствует удаленному адресу пользователя, отправляющего вам ваш файл cookie.

0

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]