CI 的 Session 的安全性。

磊磊

    CI的Session可以存在DB里， 是不是存在DB了，可以防止黑客盗取SessionID进行登录呢？

     目前我们公司的网站，经常被黑客盗用Session ID 进行用户登录，盗取用户信息。

     请问各位大侠，如何解决这个问题呢？  

yunnysunny

sessionid在浏览器端存储在cookie中，我估计黑客是从cookie入手获取的sessionid。

longjianghu

用老大扩展的哪个类不用CI自带的

thankwsx

黑客是拿不到数据库中的内容的，是否考虑下前端漏洞？

sostart

参考下session配置的  sess_match_ip  sess_match_useragent 这两个参数

某A

个人觉得CI 的session 还是挺安全的，除非黑客完全得到了 可用cookie，并且修改自己的 ip 和 浏览器 useragent  并且这一系列都要在session过期(默认过期时间5分钟)前，并且cookie是md5（session信息+加密字段 ）一个session_id 是完全没用的，相比大多是session 类我觉得这种安全系数挺高。

loadinger

不一定是session的问题。而且是这个问题的可能性还很低。。看看其他服务器安全，上传，之类 的地方。