Se hai notato, ho messo "stop" invece di "impedire" nel titolo perché voglio che la mia applicazione PHP sia il più sicura possibile. Mi chiedo se qualcuno ha modi migliori per prevenire il dirottamento di sessione, quindi quello che ho già. Vorrei mantenere le misure di sicurezza nel mio codice PHP e non in nessuna delle impostazioni del server web.
Ecco cosa sto facendo adesso:
- Quando un utente effettua l'accesso, session_regenerate_id () viene chiamato
- Viene creata una variabile di sessione che memorizza l'indirizzo IP dell'utente che viene deciso da HTTP_X_CLUSTER_CLIENT_IP, HTTP_CLIENT_IP, HTTP_FORWARDED, HTTP_FORWARDED_FOR o REMOTE_ADDR (a seconda di quale si trova per primo)
Qualcuno ha qualche consiglio su che altro dovrei fare? Mi stavo chiedendo anche quale sia il metodo migliore per determinare l'indirizzo IP dell'utente in modo che non possa essere falsificato?