关于PHP的session登录的安全问题

<span style="font-family: Arial, Helvetica, sans-serif; background-color: rgb(255, 255, 255);"><span style="font-size:18px;">一般开发不太需要安全性的网站系统也要考虑session做登录验证的安全问题，session_id()很在传输的过程中被恶意用户挟持，伪造一个新的ID侵入系统，这里可以考虑使用session的加密验证。</span></span>

第一种方法：一个标准的HTTP请求中除了host等头部必须信息，还可能包含一些可选的头部比如

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding:gzip, deflate, sdch
Accept-Language:zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4
Cache-Control:max-age=0
Connection:keep-alive
Cookie:CNZZDATA155540=cnzz_eid%3D1361932985-1429108221-%26ntime%3D1429194688; _ga=GA1.1.530260614.1432539843; PHPSESSID=774v47f1jfgjetofpfns9bcgd1
Host:192.168.199.121
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.65 Safari/537.36

user_agent这个使我们需要的信息，如果一个用户的浏览器发送这些数据到服务器，那么接下来同一个用户还是发送同样的数据到服务器中，如果两次发送的头部信息不一样，则可能判定这次请求来自攻击者，可以在系统中加入如下代码

<?phpsession_start();

if(md5($_SERVER["HTTP_USER_AGENT"]) != $_SESSION["HTTP_USER_AGENT]){  

echo "请求有问题";exit;

}

//在初始化的时候用md5加密保存user_agent信息

$_SESSION["HTTP_USER_AGENT"] = md5($_SERVER["HTTP_USER_AGENT"]);