ハイジャックやCSRFについて
まあつまりハイジャック対策やCSRF対策なんですが…
1.id、passを入力して認証、ログインしている間ずっとPOSTでidpassをランダムにいじって作ったオリジナル変数を引き継いでいく手法
2.id、passを入力して認証、クッキーにセッションidもしくはそれっぽいものを保存して確認する手法
これをガッチャンコすれば堅いと思うんです。
1の回答者goodvnさんのところに上がっているワンタイムチケットを作ろうとしてたんですけど、なんか不安で、それ以外になんかあるかなーとおもって質問したんですが…それぐらいだよなぁ…
CSRFが心配なんだけど、時間短くするしか方法ないもんなあ。$_SERVERはあてにならんし。
改変不可のユーザ変数ってなんかありましたか?