CI 的 Session 的安全性。
CI的Session可以存在DB里, 是不是存在DB了,可以防止黑客盗取SessionID进行登录呢?目前我们公司的网站,经常被黑客盗用Session ID 进行用户登录,盗取用户信息。
请问各位大侠,如何解决这个问题呢?
sessionid在浏览器端存储在cookie中,我估计黑客是从cookie入手获取的sessionid。 用老大扩展的哪个类不用CI自带的 黑客是拿不到数据库中的内容的,是否考虑下前端漏洞? 参考下session配置的sess_match_ipsess_match_useragent 这两个参数 个人觉得CI 的session 还是挺安全的,除非黑客完全得到了 可用cookie,并且修改自己的 ip 和 浏览器 useragent并且这一系列都要在session过期(默认过期时间5分钟)前,并且cookie是md5(session信息+加密字段 )一个session_id 是完全没用的,相比大多是session 类我觉得这种安全系数挺高。 不一定是session的问题。而且是这个问题的可能性还很低。。看看其他服务器安全,上传,之类 的地方。
页:
[1]