Q

我是否足夠保護php登錄會話？

2017-08-19 35 views 1 likes

1

我有一個應用程序，授予用戶訪問權限以查看條目列表。登錄的會話會自動獲取會話cookie並使用此cookie查看結果。結果在URL中格式化，如/admin.php?page=12&results=5，其中結果是每頁顯示的條目數量，頁面是他們當前正在查看的頁面。我想知道我是否做得足夠好，以確保沒有人劫持我的登錄cookie以獲取敏感數據。我是否足夠保護php登錄會話？

[1] CORS標頭拒絕所有CSRF [2]會話ID再生每隔5分鐘，並關閉正常註銷所有訪問失效的會話，登錄兩個新的會話的用戶和訪問舊的會話的最後一個用戶。 [3]確保餅乾對重播攻擊沒問題

還有其他什麼嗎？

2017-08-19 lluisrojass

A

回答

-2

嗨，好像你正在使用「GET」請求來傳遞數據。請使用「POST」請求更安全，並且詳細信息在URL中不可用。（因爲其他敏感數據不可見）

2017-08-19 00:34:00 user3808887

+1

POST不比GET更安全 – RiggsFolly

+1

POST在任何方面都不比GET更安全。通過隱晦的安全不是安全。 – ishegg

+1

沒有神奇的POST安全。不要給別人錯誤的希望。 –

相關問題

11. 維護登錄會話
12. php登錄會話
13. PHP會話登錄
14. PHP會話登錄
15. 如何保護我的PHP會話？
16. 會話保存登錄我出去
17. Asp.net MVC默認登錄類是否足夠？
18. 重新登錄cookie（它是否足夠安全）
19. .htaccess目錄限制是否足夠？
20. 檢查登錄狀態並保存登錄會話（PHP）
21. 這對於CSRF保護足夠了嗎？
22. 是否有足夠的會話cookie來存儲用戶ID？
23. 是否足夠安全地使用一個會話？
24. 會話安全性是否足夠用於java？
25. 保護會話
26. 會話保護
27. 我的PHP會話登錄世界
28. Express會話和護照：req.isAuthenticated（）登錄
29. 登錄後維護HTTP會話
30. Coldfusion CFHTTP登錄Facebook維護會話