为了确保会话安全,需要执行以下几项操作:
- 对用户进行身份验证或执行敏感操作时,请使用SSL。
- 只要安全级别发生更改(例如登录),就重新生成会话ID。如果愿意,您甚至可以为每个请求重新生成会话ID。
- 会话超时
- 不要使用全局寄存器
- 将身份验证详细信息存储在服务器上。也就是说,请勿在cookie中发送诸如用户名之类的详细信息。
- 检查
$_SERVER['HTTP_USER_AGENT']
。这为会话劫持增加了一个小障碍。您也可以检查IP地址。但这会导致由于多个Internet连接等上的负载平衡而导致IP地址更改的用户遇到问题(在我们的环境中就是这种情况)。 - 锁定对文件系统上会话的访问或使用自定义会话处理
- 对于敏感操作,请考虑要求登录用户再次提供其身份验证详细信息
