0
场景: 在我的网站上开始一个会话后,我生成一个向用户显示一次的rand令牌。说他们“存储”它以备后用。 然后我用时间戳将md5(标记)插入到SQL中。 当用户访问其他页面(如登录)时,他们必须通过URL传递令牌,作为验证过程的一部分。我会检查该令牌是否存在,并可能是UPDATE用户标识。防止会话劫持的好方法?
所以。即使有人窃取用户的PHPSESSID cookie,是否对黑客没有任何好处,因为他们无法在不知道令牌的情况下访问这些页面?
关于SSL的好主意。这将有助于偷看令牌。谢谢,帮助! – Newphper 2011-05-01 05:23:41