我使用表示user_agent和user_ip 的会话哈希代码
我还使用sessionsetkokieparams在登录脚本中设置记住。
我的安全状况如何?在"记住我"中使用setcookie而不是set_session_okie_params并不是更好吗?我应该使用哪些功能来提高安全性?
抱歉我的英语不好
正如评论中所提到的,你并没有真正的安全设置。关于安全,有无数的事情需要考虑,但一个好的开始是考虑以下因素:
- 会话劫持/固定
- SQL注入
- XSS(跨服务器脚本)
- 野蛮力量攻击
一个好的初学者资源首先是查看phpacademy。
我也把这个联系了好几次。我认为这是PDO登录系统的一个不错的例子,它将帮助您避免SQL注入攻击。
假设您可以访问php.ini文件,您可能需要了解这些命令的作用。它们可能适合您的需要,也可能不适合您的需求,但它们可以通过不允许通过URL传递PHPSSID变量以及使其无法通过JavaScript访问来避免会话劫持/固定,从而有助于避免会话劫持。
session.use_only_cookies = 1
session.cookie_httponly = 1
session.use_trans_sid = 0
使用适当的哈希可以减轻暴力攻击。查看bcrypt或scrypt了解更多详细信息。您也可以查看此讨论以了解更多信息。