Andreas Bogk在大约一年前提出了一些非常合理的建议,以解决PHP版本5.3.2及更早版本中会话密钥生成逻辑的加密弱点,这使得PHP会话比它们本应该更容易受到“会话劫持”的攻击(这似乎是您主要关注的问题)。
Przemek Sobstel在4年前撰写了一个通用的攻击类型目录(包括会话劫持),针对PHP会话机制,并提出了缓解措施。最新的PHP版本已经多次更改,威胁形势也发生了变化。但自那时以来,攻击类型并没有太大改变,推荐的最佳实践也没有变化太多。 如果您想要量化风险暴露,那么您需要更准确地定义您的情景(实现、环境等)。