php – 在会话中存储什么?

前端之家收集整理的这篇文章主要介绍了php – 在会话中存储什么?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我知道会话固定和劫持的所有问题.我的问题非常基本:我想用 PHP创建一个身份验证系统.为此,登录后,我只会将用户ID存储在会话中. @H_502_1@但是:我看到有些人做了一些奇怪的事情,例如为每个用户和会话生成一个GUID,并在会话中存储而不仅仅是用户ID.为什么?

@H_502_1@会话的内容无法通过客户获得 – 或者可以吗?

简短的回答是$_SESSION是安全的,您不必担心其内容泄露给用户或攻击者. @H_502_1@用户通常不能访问会话的内容.你应该能够存储用户的主键,你会没事的.有些会话可以泄露,在正常的Linux系统上会话文件夹在/ tmp中,但是这可以在PHP.ini中更改为web根目录(/ var / www / tmp)然后可以访问.唯一的另一种方法是,如果用户能够通过劫持对eval()的调用或正常打印的变量来访问$_SESSION超级全局.

@H_502_1@如果您在共享主机上运行并使用旧版本的PHP和/或您的服务器配置错误,则此系统上的其他用户可能会读取甚至修改存储在/ tmp /中的会话文件.我不知道有一个应用程序会考虑这种攻击.如果这是一个问题,您可以将信息存储在数据库的会话表中.

猜你在找的PHP相关文章