Locked. This question and its answers are locked，因为该问题是题外话，但具有历史意义。它目前不接受新的答案或互动。








用PHP维护负责的 session 安全性有哪些准则？网络上到处都是信息，现在是时候将它们全部集中在一个地方了!

为了确保 session 安全，需要执行以下几项操作:

在对用户进行身份验证或执行敏感操作时，请使用SSL。

只要安全级别发生更改(例如登录)，就重新生成 session ID。如果愿意，您甚至可以为每个请求重新生成 session ID。

session 超时

不要使用全局寄存器

将身份验证详细信息存储在服务器上。也就是说，请勿在Cookie中发送诸如用户名之类的详细信息。

检查$_SERVER['HTTP_USER_AGENT']。这为 session 劫持增加了一个小障碍。您也可以检查IP地址。但是，由于多个Internet连接上的负载平衡等原因，这会给具有更改IP地址的用户带来问题(在我们的环境中就是这种情况)。

锁定对文件系统上 session 的访问，或使用自定义 session 处理

对于敏感操作，请考虑要求登录用户再次提供其身份验证详细信息