防止会话劫持的好方法？

Question

场景： 在我的网站上开始一个会话后，我生成一个向用户显示一次的rand令牌。说他们“存储”它以备后用。 然后我用时间戳将md5（标记）插入到SQL中。 当用户访问其他页面（如登录）时，他们必须通过URL传递令牌，作为验证过程的一部分。我会检查该令牌是否存在，并可能是UPDATE用户标识。

所以。即使有人窃取用户的PHPSESSID cookie，是否对黑客没有任何好处，因为他们无法在不知道令牌的情况下访问这些页面？

Answer 1

如果没有令牌，他们将无法访问这些页面，但作为附加点，有时我想同时使用IP跟踪或浏览器跟踪。

理由是即使有人获得PHPSESSID Cookie和令牌，他也必须来自同一IP源以及使用相同的浏览器。再一次，这些只是默默无闻的安全手段。

我推荐如果你真的关心安全性，你可以试着看看使用HTTPS连接。希望它有帮助。干杯!