我只是想知道是否安全地保存分類信息,如密碼。如果沒有,那麼潛在的安全問題是什麼?我目前正在開發一個登錄網站。在用戶登錄後即時通訊計劃將有關用戶的所有信息保存到會話變量,所以我不必在數據庫中查詢它每次我想訪問用戶所需的信息多數民衆贊成爲什麼即時通訊問這個問題。將分類信息存儲在會話變量中是否安全?
回答
「安全」是一個相對詞,但存儲在_SESSION
中的信息幾乎與存儲在數據庫中的信息一樣安全。只有合法地駭入你服務器的人才能夠訪問它。
也就是說,會議本身可能並不安全。惡意用戶可能會修復或劫持會話。這並不直接給他們提供_SESSION
的內容的信息,但它仍然允許他們充當另一個用戶。你應該採取必要的預防措施..老實說,這不是不使用會話的理由。
一個預防措施是而不是將用戶的密碼存儲在_SESSION
。你爲什麼需要這樣做?
只要你不var_dump()
_SESSION
或大肆顯示會話值,那麼_SESSION
是一樣安全的數據庫。不過,您應該將存儲在_SESSION
中的信息限制爲您實際需要的信息(不僅僅是安全信息)。
我想散列密碼。 sha1()
或sha256
。我不認爲任何人都可以真正從會話中讀取數據,但是如果他們知道得足夠多,他們可以模擬已經登錄並獲得提升權限的人。包含在$_SESSION
數據通常存儲在文件系統..最常見的位置是的/ tmp/文件夾(也有一些解決方案,當你把它放在高速緩存,NOSQL或SQL)。
因此,默認情況下,數據與您的服務器一樣安全。如果您的服務器遭到入侵,那麼會話數據中的機密信息是您問題最少的部分。
在會話中存儲密碼毫無意義。
所以,安全或不安全 - 它根本沒有關係(但它並不明顯安全)。只是不要存儲它。
所以我沒有進行查詢數據庫
爲什麼?查詢數據庫有什麼問題?
我要訪問所需的信息
好了,但密碼每一次?它可能需要什麼?
我有一個表單,它在登錄時加載關於用戶的信息。當我在包含密碼的會話變量中存儲數據庫中的所有信息時登錄。那麼我只是使用會話變量在窗體中回顯它以顯示信息。我知道你在說修辭。我只是解釋了我在做什麼計劃。任何方式歡呼。感謝您的答覆!:) – 2012-03-08 08:11:23
我不是修辭。我不明白你在說什麼。在表單中顯示密碼絕對沒有意義。沒有人這樣做。在表單中顯示用戶信息有什麼意義?你正在做一些奇怪的事情,你最好把你奇怪的設置改爲理智的。 – 2012-03-08 10:09:35
- 1. HTML5會話存儲是否安全?
- 2. Rails + Sessions:安全地在會話中存儲部分信用卡信息?
- 3. PHP的會話變量是否安全?
- 4. 是否可以在會話中存儲信用卡信息?
- 5. 將敏感信息存儲在被認爲安全的類保護變量中?
- 6. 將用戶信息存儲在本地存儲中是否安全?
- 7. 依靠會話變量來存儲要在多個異步流之間共享的信息是否安全?
- 8. 在php會話變量中臨時存儲信息
- 9. 在會話變量中存儲密碼安全嗎?
- 10. 在zope中安全地存儲沒有會話的變量
- 11. 將用戶會話令牌存儲在localStorage中是否存在安全風險?
- 12. 是否可以在vibe.d中全局存儲當前會話信息? (dlang)
- 13. Rails:在「會話」中存儲數據是否安全?
- 14. 在會話['user']中存儲用戶名是否安全? C#asp.net
- 15. 在會話中存儲OTP是否安全?
- 16. 在會話中存儲值是否安全?
- 17. 會話可以用來存儲安全信息?
- 18. 是否將一個本地變量存儲在類安全的STL容器中?
- 19. 在會話中存儲用戶信息?
- 20. Passport.js - 在會話中存儲信息
- 21. 新會話存儲舊會話信息
- 22. 會話存儲安全
- 23. 在android上存儲creadit卡信息是否安全?
- 24. 在cakePHP的會話中存儲消息的變量是什麼?
- 25. 將公共信息存儲在公共目錄中是否安全?
- 26. PHP會話變量安全
- 27. 在PHP會話中保存用戶信息的安全漏洞?
- 28. 將隨機值作爲會話「密鑰」存儲在表中是否安全?
- 29. Django:合理將會話數據存儲在類變量中?
- 30. symfony2安全性優於自身存儲會話變量嗎?
你至少應該給密碼加鹽或者有某種保護措施,而不是僅僅存儲明文,特別是在敏感的情況下。 – prelic 2012-03-08 03:51:07
是的,但這是一個理智的方法?你必須確保會話,內存和數據庫保持同步。 – max 2012-03-08 04:05:00
投票結束不是一個真正的問題。 – 2012-03-08 10:10:19