我想在php中创建一个验证码登录页面。用户输入用户密码和验证码后,即可登录。之后,一些会话和cookie存储在cookie中。如果有人导出这些cookie也会话和导入到命令行浏览器,如wget或elinks和修改用户代理在头(并更改为相同的浏览器,他登录一次之前),他可以登录与该信息不输入用户和传递,然后做一个循环10000000次刷新页面在我的应用程序,使我的服务器上无用的进程。我怎么能防止这种情况?我认为的一个解决方案是存储$_SERVER['REQUEST_URI']并将其存储在数据库中,并为每次刷新计数计数器,如果点击在一小时内超过50次,那么我检测到它是攻击,另一个解决方案是防止它吗?
session_regenerate_id(true);
要避免这种情况,可以使用
session_regenerate_id()
函数。该功能可用于重新生成/更改当前会话的会话ID。例如,如果您希望每10分钟刷新一次会话ID,或者在更改与会话关联的用户的真实性状态之后刷新会话ID,这可能会很有用。