在会话中保留用户密码散列是否安全?PHP
在会话中保存用户密码哈希(例如md5)是否安全在会话中保留用户密码散列是否安全?PHP,php,security,session,Php,Security,Session,在会话中保存用户密码哈希(例如md5)是否安全 更新:我想使用此哈希进一步授权ajax请求,请求用户密码,我也有一个密钥,但我也必须检查密码。这应该是安全的,因为客户端只能访问自己的会话值。但你应该: 确保客户端无法访问它 使用另一个加密,我不认为MD5安全,最好使用SHA512或. 但最重要的是:您真的需要在会话中使用哈希吗?如果用户已通过身份验证,他将始终收到相同的会话(如果服务器配置正确)。如果您对此感到焦虑,那么您就走错了路。您必须记住,会话通常存储在服务器运行的硬盘上。如果有人可以对您
更新:我想使用此哈希进一步授权ajax请求,请求用户密码,我也有一个密钥,但我也必须检查密码。这应该是安全的,因为客户端只能访问自己的会话值。但你应该:
但最重要的是:您真的需要在会话中使用哈希吗?如果用户已通过身份验证,他将始终收到相同的会话(如果服务器配置正确)。如果您对此感到焦虑,那么您就走错了路。您必须记住,会话通常存储在服务器运行的硬盘上。如果有人可以对您服务器上的任何文件进行未经授权的访问,则这些哈希可能会被破坏
这种风险是否可以接受,取决于您正在开发什么。您为什么需要在会话中保留这些信息?一旦用户通过身份验证,您就不需要重新验证他是谁。他从哪里获得密码哈希?也必须来自服务器硬盘。:)@VOX通常密码散列存储在数据库中,我可以假设数据库位于对其访问更受限的另一台服务器上。如果他的数据库位于同一台服务器上,那也是另一个问题。