Php 服务器端会话安全吗?
我正在编写的应用程序中使用(服务器端,而不是cookie)会话,如果用户尚未获得对服务器的访问权限,我可以信任$\u会话变量,还是应该在每次加载页面时验证其内容?Php 服务器端会话安全吗?,php,security,session,Php,Security,Session,我正在编写的应用程序中使用(服务器端,而不是cookie)会话,如果用户尚未获得对服务器的访问权限,我可以信任$\u会话变量,还是应该在每次加载页面时验证其内容? 注意: 我试图限制对数据库的查询数量,目前我正在验证每个页面加载的数据,我认为我可能可以消除这些查询,但我想100%确定。是的,您可以将其安全地存储在会话中。您应该确保验证方法是安全的。(存储会话之前使用的方法)。您只需确保会话存储在安全的地方。默认情况下,会话存储在linux上的/tmp/之类的地方。如果用户可以访问您的服务器,
注意:
我试图限制对数据库的查询数量,目前我正在验证每个页面加载的数据,我认为我可能可以消除这些查询,但我想100%确定。是的,您可以将其安全地存储在会话中。您应该确保验证方法是安全的。(存储会话之前使用的方法)。您只需确保会话存储在安全的地方。默认情况下,会话存储在linux上的/tmp/之类的地方。如果用户可以访问您的服务器,他们可以编辑会话变量
您应该考虑将会话保存到数据库,和/或添加哈希计算(MD5+秘密种子)验证到会话,并且总是检查会话变量不针对该哈希进行修改。我们将整个用户对象存储在会话中。这意味着我们需要一个“刷新”方法来同步会话/数据库数据,例如,当用户更新其信息时。这正是我当前正在验证users对象的数据。如果live web servan上有一个“用户”,并且他/她可以编辑会话文件,则飞船已经离开。顺便说一句,Unkwntech希望尽可能减少DB queryes+的数量,用户可以像编辑会话文件一样“轻松”访问数据库。