我知道会话固定和劫持的所有问题.我的问题非常基本:我想用
PHP创建一个身份验证系统.为此,登录后,我只会将用户ID存储在会话中.
但是:我看到有些人做了一些奇怪的事情,例如为每个用户和会话生成一个GUID,并在会话中存储而不仅仅是用户ID.为什么?
会话的内容无法通过客户获得 – 或者可以吗?
简短的回答是$_SESSION是安全的,您不必担心其内容泄露给用户或攻击者.
原文链接:https://www.f2er.com/php/240086.html用户通常不能访问会话的内容.你应该能够存储用户的主键,你会没事的.有些会话可以泄露,在正常的Linux系统上会话文件夹在/ tmp中,但是这可以在PHP.ini中更改为web根目录(/ var / www / tmp)然后可以访问.唯一的另一种方法是,如果用户能够通过劫持对eval()的调用或正常打印的变量来访问$_SESSION超级全局.
如果您在共享主机上运行并使用旧版本的PHP和/或您的服务器配置错误,则此系统上的其他用户可能会读取甚至修改存储在/ tmp /中的会话文件.我不知道有一个应用程序会考虑这种攻击.如果这是一个问题,您可以将信息存储在数据库的会话表中.
