当用户登录时,会生成一个随机会话ID,并将其存储在数据库表行和会话变量中。在访问网站的任何经过身份验证的部分之前,都会检查会话变量中存储的会话ID是否与用户表行中的会话ID相同
我的问题是,这比在会话变量中设置布尔标志更安全吗?
感谢
它稍微安全一些。现在,攻击者必须能够读取你与客户通信的某些部分(比如,坐在他们的办公室外,拿着WiFi嗅探器,坐在麦当劳的邻桌,或者坐在公交车上他们旁边)。
不过,这仍然不是一个特别好的主意。谷歌"重放攻击",对于初学者…
当用户登录时,会生成一个随机会话ID,并将其存储在数据库表行和会话变量中。在访问网站的任何经过身份验证的部分之前,都会检查会话变量中存储的会话ID是否与用户表行中的会话ID相同
我的问题是,这比在会话变量中设置布尔标志更安全吗?
感谢
它稍微安全一些。现在,攻击者必须能够读取你与客户通信的某些部分(比如,坐在他们的办公室外,拿着WiFi嗅探器,坐在麦当劳的邻桌,或者坐在公交车上他们旁边)。
不过,这仍然不是一个特别好的主意。谷歌"重放攻击",对于初学者…