Là BalusC đề cập, các session_
-các chức năng trong php là cách để đi, ý tưởng cơ bản của bạn là âm thanh. Nhưng vẫn còn nhiều hiện thực khác nhau, một số trong số họ có những cạm bẫy của họ. Ví dụ: như Jonathan Samson giải thích, việc sử dụng cookie có thể dẫn đến lỗ hổng bảo mật.
PHP của tôi hơi bị gỉ, nhưng tôi nhớ rằng các chức năng session_
cũng có thể sử dụng ID phiên được mã hóa trong URL. (Cũng có một tùy chọn để tự động thêm vào tất cả các liên kết cục bộ (như GET) và mục tiêu biểu mẫu (như POST). Nhưng cũng không phải không có rủi ro.) Một cách để ngăn chặn việc chiếm đoạt phiên bằng cách sao chép SID để nhớ địa chỉ IP và so sánh nó với bất kỳ yêu cầu nào đi kèm với ID phiên hợp lệ đến IP đã gửi yêu cầu này.
Như bạn có thể thấy, phương pháp cơ bản chỉ là khởi đầu, có nhiều điều cần xem xét hơn.Do đó, đề xuất của SapphireSun là một điều cần được cân nhắc: Bằng cách sử dụng thư viện được kiểm tra tốt, bạn có thể đạt được mức độ bảo mật cao mà không cần sử dụng thời gian phát triển có giá trị để phát triển hệ thống phiên của riêng bạn. Tôi muốn giới thiệu phương pháp này cho bất kỳ hệ thống nào mà bạn muốn triển khai trong thế giới thực.
OTOH, nếu bạn muốn tìm hiểu về các phiên PHP và các vấn đề bảo mật, bạn nên chắc chắn điều đó cho mình làm, nếu chỉ để hiểu làm thế nào không để làm điều đó ;-)
Chào mừng bạn đến StackOverflow. Câu hỏi đầu tiên tuyệt vời! – Sampson
cảm ơn! P – Erkka