в вашей конфигурации во время выполнения. Злоумышленник не может установить значение файла cookie в контексте другого домена. Фиксация сеанса основана на отправке значения cookie в виде GET или POST.
аюсь понять больше о PHPФиксация сессии Взлом и как предотвратить эти проблемы. Я читал следующие две статьи на сайте Криса Шифлетта:
Фиксация сессииSession HijackingОднако я не уверен, что правильно понимаю вещи.
Чтобы предотвратить фиксацию сеанса, достаточно вызвать session_regenerate_id (true); после успешного входа в систему? Я думаю, что я правильно понимаю.
Он также говорит об использовании токенов, передаваемых в URL через $ _GET, для предотвращения перехвата сессии. Как бы это было сделано? Я предполагаю, что когда кто-то входит в систему, вы генерируете свой токен и сохраняете его в переменной сеанса, а затем на каждой странице вы сравниваете эту переменную сеанса со значением переменной $ _GET?
Нужно ли менять этот токен только один раз за сеанс или при каждой загрузке страницы?
Кроме того, является ли это хорошим способом предотвращения угона без передачи значения в URL? это было бы намного проще.