Я считаю, что SSL - дешевое и полное решение.Но пока у вас его нет или вы ищете какие-то дополнительные слои, вот как защитить ваши данные СЕССИИ.
Как всегда, защита в отделе - это путь.1-е использование сессий для хранения данных для входа в систему. 2-е. Если администратор также вошел в систему и проверил наличие БД, он может немного замедлиться, но из-за небольшого количества администраторов, а остальные - пользователи, это реальный плюс безопасности.3-я ЗАЩИТА СЕССИИ <=! </p>
Защита сеанса: поместите начало сеанса в объектный файл, где вы вызываете функцию is_session_valid () для собственной конструкции.Эта функция проверяет (IP / TIME / Browser) на суперглобальный $ _SERVER и сохраняет их в сеансе.Наверх При следующей загрузке посмотрите, совпадают ли значения, если не просто не тратить больше ресурсов на выход пользователя из системы и покажите страницу индекса.
Это не полное решение, так как это может быть тот же браузер в той же сети, например, Wi-Fi с большим количествомпользователи и сеансы перехвата могут также быть недавними (вовремя).Но до тех пор, пока SSL не используется, это намного лучше, чем ничего.В любом случае редко случается, что жертва и угонщик используют одно и то же все .... так что это эффективно снижает шансы на успешную атаку даже без какого-либо SSL!
Оригинальная идея Кевина Скоглунда, если он не заинтересован в защите вашего приложения, посмотрите его безопасный PHPруководство.https://www.lynda.com/PHP-tutorials/Creating-Secure-PHP-Websites/133321-2.html
PS Необходимо использовать несколько других средств защиты (минимум CSRF), чтобы иметь достаточно защищенную точку доступа
Пока: -)