Php 必须加密会话吗？_Php_Session_Crypt

Php 必须加密会话吗？

php session

Php 必须加密会话吗？,php,session,crypt,Php,Session,Crypt,我使用会话登录系统： $_SESSION['id'] = $result['id']; 我只在会话上保存id，并在所有页面的顶部使用session\u regenerate\u id（），此方法安全吗？我在所有页面的顶部使用了session\u regenate\u id（），但是用户可以更改会话并设置任何id？您不需要这样做。客户端无法读取会话（至少在PHP中），客户端唯一可以访问的是服务器生成的ID，然后用于检索会话值服务器端人们可以设置不同的ID，但他们无法知道什么ID是avlid。您

我使用会话登录系统：

$_SESSION['id'] = $result['id'];

我只在会话上保存id，并在所有页面的顶部使用

session\u regenerate\u id（）

，此方法安全吗？

我在所有页面的顶部使用了

session\u regenate\u id（）

，但是用户可以更改会话并设置任何id？

您不需要这样做。客户端无法读取会话（至少在PHP中），客户端唯一可以访问的是服务器生成的ID，然后用于检索会话值服务器端

人们可以设置不同的ID，但他们无法知道什么ID是avlid。您所做的实际上不会改变任何东西，攻击者将能够看到信息输入和输出的会话id，除非您使用https，否则您所做的不会改变任何事情。使用https，并在登录后重新生成ID以防止MITM攻击。我使用

session\u rigenate\u ID（）session@serakfalcon如果您将自己置于有人可以成功执行MITM攻击的位置，会话ID是您的最后一个问题，因为他可以获得用户名和密码以及你发送的任何其他数据over@LucaB. 这就是我的观点，我认为OP过于关注一些即使没有适当的保护措施也无关紧要的事情。但是会话id是一个cookie，所以人们可以更改它？会话id是一个cookie，但是一个相当长的散列，因此，由于会话id在收集会话时会发生更改，因此尝试对其进行暴力强制很可能会导致什么结果都没有