Рассматривали ли вы чтение книги по безопасности PHP? Очень рекомендую
У меня был большой успех со следующим методом для сайтов, не сертифицированных SSL.
- Отключить несколько сеансов в одной учетной записи, t проверяя это только по IP-адресу. Скорее проверьте токен, созданный при входе в систему, который хранится в сеансе пользователя в базе данных, а также IP-адрес, HTTP_USER_AGENT и т. Д.
- Использование гиперссылок, основанных на отношениях. Создает ссылку (например, http: //example.com/secure.php?token=2349df98sdf98a9asdf8fas98df8) Ссылка добавляется с произвольной соляной строкой MD5 с произвольным размером x-BYTE (предпочтительный размер), при перенаправлении страницы случайно сгенерированный токен соответствует запрошенной странице. После перезагрузки выполняется несколько проверок. Исходный IP-адрес HTTP_USER_AGENT Session Token вы получаете.
- Короткое время ожидания проверки подлинности сеанса. как указано выше, cookie, содержащий защищенную строку, которая является одной из прямых ссылок на достоверность сеансов, является хорошей идеей. Завершить его каждые x минут, переиздавая этот токен и повторно синхронизируя сеанс с новыми данными. Если какие-либо неправильные совпадения в данных, либо выведите пользователя из системы, либо повторите аутентификацию их сеанса.
Я никоим образом не специалист по этому вопросу, немного опыта в этой конкретной теме, надеюсь, что некоторые из них помогают кому бы то ни было.
задан csgillespie 3 November 2012 в 09:25
поделиться