Session_start安全性
Session_start安全性
提问于 2017-03-17 14:13:12
我正在开发一个登录系统,一旦用户登录,我就为他创建一个会话。我正试图使系统尽可能安全。我发现一些资源声称session_start()本身是不安全的,并建议采取额外的步骤来保护它。见:如何创建防弹会话和基于PHP和MySQL的安全登录系统。我玩过WireShark,看到了当我使用HTTP连接时找到登录凭据(随POST发送)和cookie是多么容易。我使网站自动重定向到HTTPS,现在我找不到凭据(旁注:“加密握手”意味着什么?)我看到这的帖子上面写着
没有安全cookie这样的东西,除非它是通过SSL传输的。
因此,我认为使用HTTPS对一个安全的登录系统来说就足够了。现在我使用的是HTTPS连接,还是需要添加进一步的安全措施?
回答 1
Stack Overflow用户
回答已采纳
发布于 2017-03-17 14:28:55
HTTPS和session_start()解决了两个不同的问题。HTTPS防止出现中间人攻击的概率。Where as会话管理哪个用户具有执行什么(以及哪个用户)凭据。在对PHP会话进行黑客攻击时,通常是通过蛮力或通过浏览器导出或通过受损害的计算机进行的。PHP是一个开源项目,这意味着任何人在创建会话时都可以查看他们使用的算法。一名黑客利用这一方法排除了所有不必要的检查可能性,并根据会话对某人进行黑客攻击。创建你自己的网站会让你的网站更难被黑(假设你的身份证明足够长等等)。话虽如此,除非我是在写一个银行网站,否则我不会费心的。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/42867886
复制相关文章
相似问题
PHP session_start作为安全性
session_start()、ob_start()和安全性问题
PHP session_start $_SESSION value作为登录验证的安全性如何?
session_start()
Debian session_start()
添加站长 进交流群
领取专属 10元无门槛券
AI混元助手 在线答疑
关注 腾讯云开发者公众号
洞察 腾讯核心技术
剖析业界实践案例
腾讯云开发者
