Я искал эту же проблему.
ю, что это двойной вопросCodeigniter / PHP сессии секретный вопрос но извините, чтобы сказать, что все меры, рекомендуемые там, потерпели неудачу в моем случае, и именно поэтому я повторяю этот вопрос и этот вопрос, заданный в 2011 году, и теперь его ответы будут устаревшими. Поэтому, пожалуйста, не дублируйте это.
В моем сценарии я включил$config['sess_driver'] = 'database';
а также$config['sess_match_ip'] = TRUE;
в конфигурационном файле.
Я также поместил токен csrf и XSS-фильтрацию в свою форму аутентификации и всегда использую активные записи, чтобы предотвратить любые инъекции SQL. Для дополнительной безопасности я также реализовал двухфакторную аутентификацию, Google ReCaptcha и блокировку ip с 10-й попытки. Тем не менее, все вышеперечисленные меры могут только предотвратитьатака грубой силой в моем случае и не угон сеанса.
Если злоумышленник получил значение ci_session и мой ip, он может легко войти на мой сайт без каких-либо учетных данных.
Я знаю, что использование HTTPS может помочь, так как я могу включить$config['cookie_secure']=TRUE;
но я не уверен на 100% в этом, поскольку я могу легко войти в свою учетную запись Twitter, когда я выполняю перехват сеансов, а твиттер использует HTTPS.
Я также попробовал мое приложение laravel, и его система аутентификации промежуточного ПО по умолчанию может быть перехвачена.
Поэтому основная проблема - вся моя работа по аутентификации в сеансе, и я не знаю другого способа использовать аутентификацию без использования сеанса.
Если кто-нибудь знает, как повысить безопасность моего веб-приложения, пожалуйста, помогите мне.
Заранее спасибо.