Автор Тема: Предпазване от отвличане на сесия (session hijacking)  (Прочетена 510 пъти)

0 Потребители и 1 Гост преглежда(т) тази тема.

woodmonster

  • Newbie
  • *
  • Благодарности
  • -Казани: 0
  • -Получени: 0
  • Публикации: 12
За да се предпазим от session hijacking - добър вариант ли е този код?


Код: PHP
  1. ini_set('session.cookie_httponly', TRUE);
  2.  
  3. //стартираме сесия
  4.  
  5. //Проверяваме дали е сетната $_SESSION['last_ip'] и ако не е казваме, че тя равна на $_SERVER['REMOTE_ADDR'] (IP адреса, от който потребителят разглежда страницата)
  6. if(isset($_SESSION['last_ip']) === FALSE){
  7.     $_SESSION['last_ip'] = $_SERVER['REMOTE_ADDR'];
  8. }
  9.  
  10. //правим проверка дали IP-то записано в сесията е равно на IP-то от което браузваме и ако не е равно унищожаваме сесията!
  11. if($_SESSION['last_ip'] !== $_SERVER['REMOTE_ADDR']){
  12.     session_unset();
  13. }