ю, что это двойной вопросCodeigniter / PHP сессии секретный вопрос но извините, чтобы сказать, что все меры, рекомендуемые там, потерпели неудачу в моем случае, и именно поэтому я повторяю этот вопрос и этот вопрос, заданный в 2011 году, и теперь его ответы будут устаревшими. Поэтому, пожалуйста, не дублируйте это.

В моем сценарии я включил$config['sess_driver'] = 'database'; а также$config['sess_match_ip'] = TRUE; в конфигурационном файле.

Я также поместил токен csrf и XSS-фильтрацию в свою форму аутентификации и всегда использую активные записи, чтобы предотвратить любые инъекции SQL. Для дополнительной безопасности я также реализовал двухфакторную аутентификацию, Google ReCaptcha и блокировку ip с 10-й попытки. Тем не менее, все вышеперечисленные меры могут только предотвратитьатака грубой силой в моем случае и не угон сеанса.

Если злоумышленник получил значение ci_session и мой ip, он может легко войти на мой сайт без каких-либо учетных данных.

Я знаю, что использование HTTPS может помочь, так как я могу включить$config['cookie_secure']=TRUE; но я не уверен на 100% в этом, поскольку я могу легко войти в свою учетную запись Twitter, когда я выполняю перехват сеансов, а твиттер использует HTTPS.

Я также попробовал мое приложение laravel, и его система аутентификации промежуточного ПО по умолчанию может быть перехвачена.

Поэтому основная проблема - вся моя работа по аутентификации в сеансе, и я не знаю другого способа использовать аутентификацию без использования сеанса.

Если кто-нибудь знает, как повысить безопасность моего веб-приложения, пожалуйста, помогите мне.

Заранее спасибо.