为我定制的框架我让用户如下登录并设置会话:如何进行安全会话?
<?PHP
session_start();
// bunch of code
if (isset($_SESSION['id') {
// check time and regenerate session id every 10 minutes
// session_regenerate_id(true);
}
// some more code
if (isset($_POST['login']) {
// check if login is valid, when it is:
$_SESSION['user_id'] = getUserData('id');
$_SESSION['user_name'] = getUserData('name');
$_SESSION['user_is_admin'] = getUserData('admin'); // filled with 0 or 1
}
一切都存储在与BCRYPT散列密码的数据库。在此之上,我强制使用SSL,因此用户无法通过普通的http访问网站。
此方法是否安全? 如果不是;有什么安全缺陷,我可以做些什么来提高安全性?
$ _SESSION ['id']与会话ID不同。 –
可能最适合代码审查或安全交换 –
首先定义“安全”。 – ADyson