PHP Oturum Güvenliği

Session

Sunucu tarafında tutulan , oturum bilgileri (PHPde PHPSSID diye cookie tutulur.)

Cookie

Browser tarafında tutulan oturum bilgileri

PHP phpssid ‘de ağ dinlenerek elde edilebilir. Başkasının phpssid’ine sahip olduğunuz an onun oturumunu elde edersiniz.

Çözüm Yolları

  • session_regenerate_id fonksiyonu ile her seferinde phpssid’i yenileyin.
  • isteğin geldiği ip adresini kontrol et ve doğrula.
  • bir oturum aynı anda sadece bir yerde açık olabilsin. (yeniden üretilen ssid , yeniden giriş olma durumda, tekrar yenilenir.)