是否可以创建一个salt(随机字符串),将其附加到用户id字符串,然后md5(或其他加密),将相同的结果保存为cookie和会话变量,然后在安全页面上包含php脚本,以确保cookie和会话变元匹配?
这安全吗?
没有什么比让PHP使用session_start()调用自动为您生成会话ID更安全的了。
它仍然很容易被有人用会话ID偷走你的cookie。
为了更好的安全性,请使用HTTPS并将cookie标记为仅HTTP,这样javascript就无法访问它们。您还可以将用户的IP存储在会话变量中,并检查IP地址是否与向您发送cookie的用户的远程地址匹配。