您的配置很棒。您肯定阅读了如何锁定php会话。但是,此行代码会抵消您的php配置提供的许多保护:
session_id(sha1(uniqid(microtime()));
这是一种生成会话ID 的 特别糟糕的 方法。根据您的配置,您正在生成会话ID,
/dev/urandom该会话ID
是一个很棒的熵池。这将比uniqid()随机得多,而uniqid()大多已经是一个时间戳了,向此混合添加另一个时间戳完全没有帮助。尽快删除此行代码。
检查IP地址是有问题的,ip地址是出于正当理由而更改的,例如用户是否位于负载平衡器或TOR之后。用户代理检查是没有意义的,就像具有GET变量一样
?is_hacker=False,如果攻击者具有会话ID,则他们可能具有用户代理,如果没有,则很容易被暴力破解。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)