在所有php页面中应用会话重新生成id是否安全？

Am trying to prevent session hijacking and other forms of csrf attack on my site and everything seems to be working fine.

My question is that I have session_regenerate_id();
on both index.php and save.php files

Am I still protected against session hijacking and fixation attack etc or should I just remove session_regenerate_id(); from index.php

index.php

<?php
 session_start();
session_regenerate_id();
 //$token= md5(uniqid());

$token = md5(uniqid().$_SERVER['REMOTE_ADDR']);
 $_SESSION['update_token']= $token;
 session_write_close();
?>
<html>
<body>
<form method="post" action="save.php">
 <input type="hidden" name="token" value="<?php echo $token; ?>" />

<input type="submit" value="submit" />

</form>
</body>
</html>

save.php

 <?php
     session_start();

     session_regenerate_id();
     $token = $_SESSION['update_token'];
     unset($_SESSION['update_token']);
     session_write_close();

     if ($_POST['token']==$token) {
       // insert into database via PDO
     } else {
       // session attack detected.
     }
    ?>

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

报告相同问题？

关注问题

在设置安全值之后或之前重新生成会话ID php
2016-08-06 00:05

回答 2 已采纳 This is how it works, session_regenerate_id() will create and change the session id, transferring
我应该在每个页面上重新生成会话ID吗？ php
2011-08-24 18:40

回答 2 已采纳 You may use session_regenerate_id to prevent session fixation attacks, in which the attacker learn
PHP会话ID - 它们是如何生成的？ [重复] php
2013-09-21 21:08

回答 2 已采纳 If you want to know how PHP generates a session ID by default check out the source code on Github.
php中session_id()函数详细介绍,会话id生成过程及session id长度
2020-12-18 19:24

php中session_id()函数原型及说明session_id()函数说明:stringsession_id([string$id])session_id() 可以用来获取/设置当前会话 ID。为了能够将会话 ID 很方便的附加到 URL 之后，你可以使用常量 SID 获取以字符串...
重新生成PHP会话ID并双重刷新 - 浏览器未收到新cookie php
2013-07-11 11:54

回答 1 已采纳 Add a column 'previous_session_ID' to your DB Move the current session ID into 'previous_session_
在codeigniter中调用ajax后重新生成新的会话ID ajax jquery php
2012-08-07 07:09

回答 1 已采纳 i also had the same problem with CodeIgniter sessions. i switched to native sessions: https://git
PHP登录脚本生成会话但不是标题（）移至主页 mysql php
2016-02-14 10:14

回答 2 已采纳 First of all add spaces in your query. And you are missing $ sign before username $username. $sql
php获得session id,php中session_id()函数详细介绍,会话id生成过程及session id长度
2021-03-24 01:05

林玉伟的博客这篇文章主要介绍了php中session_id()函数详细介绍,会话id生成过程及session id长度的相关资料,需要的朋友可以参考下php中session_id()函数原型及说明session_id()函数说明:stringsession_id([string$id])session_id...
PHP MySQL设置会话从MySQL生成的表提交 mysql php
2013-05-16 18:19

回答 3 已采纳 The main problem is that you're basically building a form that looks (stripping out all the fluff
如何生成wordpress登录会话 php
2017-06-15 09:40

回答 1 已采纳 in your ajax function insert user with email and random password using wp_insert_user(). Then Use
Zend_Session_SaveHandler_DbTable没有生成有效的会话ID？ database php
2010-02-08 15:03

回答 1 已采纳 Well, I'm flummoxed. I changed the table type to InnoDB and now it works. In my defence - in the
PHP-Session-Management:使用会话管理类维护安全会话
2021-06-27 08:18

重新生成会话 ID。检查会话是否有效。关闭会话。在这个类中，可以使用用户的指纹来验证会话。指纹包括安全词、IP 地址、浏览器详细信息和客户端的主机名。这将在会话开始时自动初始化，并且在验证会话时将...
Ion_auth - 一个会话中的多个用户 php
2017-03-15 21:29

回答 2 已采纳 Change the following settings in config: $config['sess_driver'] = 'database'; $config['sess_save_
PHP中的会话管理是如何工作的？
2024-04-24 17:53

Layla_c的博客在实际应用中，开发者需要根据项目需求和安全要求选择合适的会话存储机制和配置选项，以确保会话管理的有效性和安全性。会话管理主要依赖于会话ID、会话数据以及会话存储机制来实现。当用户关闭浏览器或会话超时时，...
php生成SessionID和图片校验码的思路和实现代码
2020-12-17 20:11

/****** 产生Session ID ******/ 基本的思路: 是把当前微秒的时间获取, 然后产生以个随机数字, 把随机数字和当前时间相加后加密一下, 最后再截取需要的长度 /* 函数名称：create_sess_id() 函数作用：产生以个随机的...
没有解决我的问题, 去提问

悬赏问题

¥15 c语言怎么用printf（“\b \b”）与getch（）实现黑框里写入与删除？
¥20 怎么用dlib库的算法识别小麦病虫害
¥15 华为ensp模拟器中S5700交换机在配置过程中老是反复重启
¥15 java写代码遇到问题，求帮助
¥15 uniapp uview http 如何实现统一的请求异常信息提示？
¥15 有了解d3和topogram.js库的吗？有偿请教
¥100 任意维数的K均值聚类
¥15 stamps做sbas-insar，时序沉降图怎么画
¥15 买了个传感器，根据商家发的代码和步骤使用但是代码报错了不会改，有没有人可以看看
¥15 关于#Java#的问题，如何解决？

码龄粉丝数原力等级 --

在所有php页面中应用会话重新生成id是否安全？

0条回答默认最新

悬赏问题

在所有php页面中应用会话重新生成id是否安全？

0条回答 默认 最新

悬赏问题

0条回答默认最新