用户
 找回密码
 入住 CI 中国社区
搜索
查看: 3757|回复: 6
收起左侧

[讨论/交流] CI 的 Session 的安全性。

[复制链接]
发表于 2012-9-1 13:49:00 | 显示全部楼层 |阅读模式
    CI的Session可以存在DB里, 是不是存在DB了,可以防止黑客盗取SessionID进行登录呢?

     目前我们公司的网站,经常被黑客盗用Session ID 进行用户登录,盗取用户信息。

     请问各位大侠,如何解决这个问题呢?  
发表于 2012-9-3 09:40:57 | 显示全部楼层
sessionid在浏览器端存储在cookie中,我估计黑客是从cookie入手获取的sessionid。
发表于 2012-9-10 21:52:15 | 显示全部楼层
用老大扩展的哪个类不用CI自带的
发表于 2012-9-11 00:01:39 | 显示全部楼层
黑客是拿不到数据库中的内容的,是否考虑下前端漏洞?
发表于 2012-9-11 00:42:14 | 显示全部楼层
参考下session配置的  sess_match_ip  sess_match_useragent 这两个参数
发表于 2013-12-20 18:04:24 | 显示全部楼层
个人觉得CI 的session 还是挺安全的,除非黑客完全得到了 可用cookie,并且修改自己的 ip 和 浏览器 useragent  并且这一系列都要在session过期(默认过期时间5分钟)前,并且cookie是md5(session信息+加密字段 )一个session_id 是完全没用的,相比大多是session 类我觉得这种安全系数挺高。
发表于 2013-12-26 09:44:15 | 显示全部楼层
不一定是session的问题。而且是这个问题的可能性还很低。。看看其他服务器安全,上传,之类 的地方。

本版积分规则