Научи ме

Програмиране => PHP => Темата е започната от: woodmonster в 09 Март 2017, 07:49:56

Титла: Предпазване от отвличане на сесия (session hijacking)
Публикувано от: woodmonster в 09 Март 2017, 07:49:56
За да се предпазим от session hijacking - добър вариант ли е този код?


Код: PHP
  1. ini_set('session.cookie_httponly', TRUE);
  2.  
  3. //стартираме сесия
  4.  
  5. //Проверяваме дали е сетната $_SESSION['last_ip'] и ако не е казваме, че тя равна на $_SERVER['REMOTE_ADDR'] (IP адреса, от който потребителят разглежда страницата)
  6. if(isset($_SESSION['last_ip']) === FALSE){
  7.     $_SESSION['last_ip'] = $_SERVER['REMOTE_ADDR'];
  8. }
  9.  
  10. //правим проверка дали IP-то записано в сесията е равно на IP-то от което браузваме и ако не е равно унищожаваме сесията!
  11. if($_SESSION['last_ip'] !== $_SERVER['REMOTE_ADDR']){
  12.     session_unset();
  13. }