woodmonster
Member
За да се предпазим от session hijacking - добър вариант ли е следния код?
PHP:
ini_set('session.cookie_httponly', TRUE);
//стартираме сесия
session_start();
//Проверяваме дали е сетната $_SESSION['last_ip'] и ако не е казваме, че тя равна на $_SERVER['REMOTE_ADDR'] (IP адреса, от който потребителят разглежда страницата)
if(isset($_SESSION['last_ip']) === FALSE){
$_SESSION['last_ip'] = $_SERVER['REMOTE_ADDR'];
}
//правим проверка дали IP-то записано в сесията е равно на IP-то от което браузваме и ако не е равно унищожаваме сесията!
if($_SESSION['last_ip'] !== $_SERVER['REMOTE_ADDR']){
session_unset();
session_destroy();
}