Лучший способ для аутентификации в PHP
Сделать проект общедоступным. Только участники смогут загружать контент, если вы выберете «Просмотр и редактирование файлов в этом проекте» в «Только участники проекта».
Гость участники по-прежнему являются членами, и вы контролируете, кого вы добавляете в свой проект.
2 ответа
Если Вы хотите использовать сессии, Вы имеете, защищают их от нападений как фиксация сессии и перехват сеанса.
Для предотвращения обоих, необходимо удостовериться, что только аутентифицируемым запросам позволяют использовать сессию. Это обычно делается путем объединения в цепочку как можно больше конкретного (возможно уникальный) информация о клиенте с сессией. Но поскольку некоторая информация может измениться по каждому запросу (как IP-адрес), может быть трудно найти хорошее.
Поэтому полезно использовать метод, обозначенный в качестве Отклонения.
Другая хорошая мера защиты должна периодически подкачивать идентификатор сессии. Таким образом период для нападения на действительный идентификатор сессии меньше.
Самый простой способ реализовать его с СЕССИЯМИ PHP.
просто session_start (); около начала Вашего сценария и у Вас есть доступ к $ _SESSION глобальный массив для содержания Ваших данных аутентификации.
В зависимости от конфигурации Вашего сервера все данные, хранившие в $ _SESSION, только будут доступны на сервере, с которого это размещается (за редким исключением). Можно настроить его, чтобы быть сохраненными во временном каталоге в memcached или даже базе данных.
Единственной вещью, которая передается между клиентом и Вашим сервером, является "сеансовый ключ". Ключ может быть передан cookie, или URL - переписывает (которые прозрачно обрабатываются start_session буфером вывода).