Ver Mensaje Individual
  #5 (permalink)  
Antiguo 20/04/2012, 13:59
Avatar de Chico3001
Chico3001
 
Fecha de Ingreso: septiembre-2011
Ubicación: Mexico, DF
Mensajes: 112
Antigüedad: 13 años, 3 meses
Puntos: 12
Respuesta: ¿ Evitar robo de sesión ?

Es altamente probable.... por lo que no vas a poder confiar en la direccion IP que leas, para resolverlo, hay que saber como se esta generando la sesion en la funcion session_regenerate_id, mientras tanto lo que yo hago es crear un token al azar y almacenarlo en una base de datos con una hora de salida, ese token lo asigno a la superglobal de session y lo comparo cada vez que el usuario entra, pero ademas se genera uno nuevo y se repite el ciclo, hasta que expire el tiempo de salida o el usuario decida salir...

Como el token varia cada vez que el usuario visita la pagina (aunque sea la misma) es muy dificil poder robarlo