使用 Kohana 避免会话劫持

Question

我是否需要做一些特别的事情来避免使用 会话劫持 /kohanaphp.com/" rel="nofollow noreferrer">Kohana 框架？ 我假设会话仅通过 Kohana Session 库进行操作

Answer 1

本机会话最容易被劫持，因为它们无法防止 cookie 被窃取。除了 PHP 提供的默认设置之外，对本机会话应用的安全性非常少。为了更好的安全性，您可能应该添加用户代理或 IP 地址检查。

Cookie 会话经过加盐处理，并支持加密。您应该更改 Cookie::$salt 以提高安全性。

数据库会话还使用加盐 cookie 来存储会话 ID，因此您应该再次更改盐。

编辑：您正在谈论 v2，它对会话应用了更高的安全性，因为它扩展了本机会话。这种方法更容易出现奇怪的 PHP 问题，但提供了更高的安全性。检查会话配置文件以添加 user_agent 和 ip_address 检查。

Answer 2

我会在 GitHub 上查看相关文件。

根据您使用的驱动程序（例如本机或数据库），您可能需要更深入地研究。

Answer 3

为了提高安全性，我将使用数据库会话并加密 cookie（保存会话 ID）。