php – 会话安全?

前端之家收集整理的这篇文章主要介绍了php – 会话安全?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
使用安全吗?
If ($_SESSION['authenticated'] == true) {
    /////Show secure page
}

有人可以去改变存储会话变量的位置,使其$_SESSION [‘authenticticated’] =为真吗?

用户的$_SESSION [‘id’] =与其索引ID相同.我怎样才能使这个更安全?
有人可以去改变id值并模仿另一个用户吗?

下面的方法是否是使某些东西更安全的正确方法

$_SESSION['random_check'] = (random number)

并且每次我都会将它存储在我的数据库中的一列中

If ($_SESSION['authenticated'] == true &&  $_SESSION['random_check'] == random_number ) {
/////Then show secure page
}

谢谢,

我很确定大多数托管中的Session只是你文件系统的一个接口,即所有Session数据都存储在服务器的硬盘上,如果你看一下PHPinfo()输出,你可以看看Session的实际路径在哪里数据是.

话虽如此,除非你将你的会话路径chmod到777并且攻击者碰巧知道你在哪里托管你的应用并且有登录,那么我认为这不是一个问题.

这里更大的问题是保护您的cookie,因为它是通过您的服务器和客户端来回传递的信息,攻击者可以使用这些信息冒充合法用户.

猜你在找的PHP相关文章