Intereting Posts
XML: сохранение нескольких значений дочернего узла в php-массив Каким будет исправление или миграция для ограничения в размере 20000 строк phpMyAdmin и что-то действительно неустойчивое? mongodb выбрать из разных баз данных использование виртуальных полей для суммирования значений в cakephp Форма ввода со скрытым полем, как ее защитить Как заменить символы, отличные от ASCII, в строке в PHP? Проверка формы zf2 (связанные с zfcAdmin и BjyAuthorize) Преобразовать eregi в preg_match – что такое Неизвестный модификатор 'F'? PHP Array_Sum для многомерного массива Сериализация «Symfony \ Component \ HttpFoundation \ File \ UploadedFile» не допускается Как я могу не отображать номер страницы = 1 в формате pdf? (hmtl css) Очистить вывод CLI CLI Codeigniter – добавление 2 файлов в электронную почту, которые были загружены из пользовательской формы на веб-сервер Как отобразить DOMElement? Как получить определенное значение из моей базы данных с помощью PHP

Символ сеанса – как он работает?

Мне интересно, как лучше всего защитить сеансы. Я немного искал и нашел много ответов, но многие из них просто слишком запутанны.

Как предотвратить захват сеансов? Я много читал о «токенах сеансов», которые вы генерируете в форме, но на самом деле не понимаете, что их используют. Как это предотвращает захват сеанса?

Я знаю, что вы не сохраняете такие вещи, как пароли в сеансах, но что вы можете хранить в них безопасно? Разрешения (например, сеанс variabele, который отслеживает уровень пользователя. Каждый раз, когда открывается страница, проверяется сеанс variabele. Это не определенный номер, вы получаете сообщение с подтверждением доступа)? Или как вы справляетесь с этим?

Спасибо!

Related of "Символ сеанса – как он работает?"

Вы можете в принципе хранить что-либо в сеансе, который вам нужен, но считается лучшей практикой не включать какую-либо секретную информацию, такую ​​как пароли, в случае взлома уровня безопасности.

Первым шагом к предотвращению захвата сеанса является не передать ваш session_id () через url. Пользователи глупы, и они будут размещать ссылки в своих блогах со своим идентификатором сеанса, что в основном даст тому, кто нажал на эту ссылку на свою сессию. Поэтому рекомендуется хранить идентификатор сеанса в cookie пользователей.

С учетом этого вы хотите отфильтровать и убрать все введенные пользователем данные. Если у вас есть инъекция XSS, и пользователь может ввести javascript, они смогут без проблем прочитать ваши файлы cookie.

Оттуда вы обычно хотите регенерировать_session_id () для любых важных действий на своем веб-сайте, чтобы предотвратить фиксацию сеанса .

Это довольно просто, и это подводит итог.