Si te has dado cuenta, pongo "detener" en lugar de "prevenir" en el título porque quiero que mi aplicación PHP sea lo más segura posible. Me pregunto si alguien tiene mejores formas de evitar el secuestro de sesiones que lo que ya tengo. Me gustaría mantener las medidas de seguridad de mi código PHP y no en ninguna de las configuraciones del servidor web.
Esto es lo que estoy haciendo ahora mismo:
- Cuando un usuario inicia sesión, session_regenerate_id () se llama
- Se crea una variable de sesión que almacena la dirección IP de los usuarios que se decide a partir de HTTP_X_CLUSTER_CLIENT_IP, HTTP_CLIENT_IP, HTTP_FORWARDED, HTTP_FORWARDED_FOR o REMOTE_ADDR (el que se encuentre primero)
¿Alguien tiene algún consejo sobre qué más debería hacer? También me preguntaba cuál es el mejor método para determinar la dirección IP de los usuarios para que no pueda ser falsificada.