我正在阅读这本书Essential PHP Security by Chris Shiflett,我在URL中使用了令牌(Session Hijacking)。书上说的“更好的办法是传播URL中的令牌 - 东西,可以被认为是识别的第二形式URL标记有效吗?
例
<?php
$token = md5(uniqid(rand(),TRUE));
$url = array();
$html = array();
$url ['token'] = rawurlencode($token);
$html['token'] = htmlentities($url['token'], ENT_QUOTES, 'UTF-8');
?>
<a href="index.php?token=<?php echo $html['token'];?>">Click Here</a>
一旦我点击‘点击这里’时, URL现在有一个令牌给它
http://localhost/urltoken/index.php?token=55420e8dce399820ecf4dfa08cf0d5a0
我不明白的是,服务器如何知道此令牌是否有效。
您最终可以将令牌放入$ _SESSION []中,然后将其与'url'中存在的令牌进行比较。 – Franco
@Franco,请你举个例子。 – Manish
令牌可以存储在数据库中。 – Barmar