一位黑客联系我说他们会使用 session 劫持来关闭我的网站,他说我的文本框存在 session 劫持漏洞。
有没有办法保护文本框免受 session 劫持 我用它来逃避和防止 sql 注入(inject)。
这是我的表单
<form name="hide" action="hideboxupdate.php" method="post">
<input type="radio" name="yes" value="1" />
Yes<br />
<input type="radio" name="no" value="0" />
No
<input name="submit" type="submit" value="Submit" />
</form>
然后这是我的 hideboxupdate.php
<?php
$yes= mysql_real_escape_string($_POST['yes']);
$yes2 = strip_tags($yes);
$no= mysql_real_escape_string($_POST['no']);
$no2 = strip_tags($no);
?>
<?php
if (isset($yes2)) {
$result3333 = mysql_query("UPDATE users SET hide_box='1' WHERE username = '".$_SESSION['username']."'")
or die(mysql_error());
echo "Users now can not see your user box";
}
if (isset($no2)) {
$result3333 = mysql_query("UPDATE users SET hide_box='0' WHERE username = '".$_SESSION['username']."'")
or die(mysql_error());
echo "Users can now see your box on your profile";
}
?>
有没有办法防止 session 劫持???
最佳答案
对session、浏览器数据和ip做一个md5并放入数据库,在每次页面加载时检查它是否仍然相同,如果没有则销毁session。
关于php - 停止 session 劫持,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9994008/