php 权限验证

现在主流的安全验证,包括登录后检查当前用户信息 是怎么做的呢我总是感觉通过浏览器发来的一个session确定用户是谁不安全.
比如,这个session值被别人获取到了,然后别人修改自己的浏览器的session也好,或者修改http协议里的session值也好.总之,服务端好像没办法区分.有其他,做法吗

解决方案 »

  1.   

    绑定IP。当session对应的用户IP发生改变,就强制登出。当然,对于在同一个局域网里的这类盗窃,这个办法就无效了。
      

  2.   

    1.你可能没有了解session的原理。
    2.你的项目已经超出了目前互联网能做到的安全范畴。
      

  3.   

    大户网站,做的安全验证是什么样的呢? 如果太多不好说,说说模型,技术关键字也可以各位星星,我初次用php.多鞭笞..
      

  4.   


    sessionid是个高级点的cookie,sessionid是针对一次会话的.但是也是和cookie一样,在tcp协议里的一个明文数据.可以被修改. 没研究过https