0
我有一個網站有兩個區域。一個是金牌會員,另一個是銀牌會員。我在用戶登錄時創建兩個會話變量;每個區域需要兩個會話變量才能訪問。不同地區的會話安全
黃金:會話的用戶id和會話金
銀:會話的用戶id和會話銀
難道這安全嗎?如果黑客竊取或更改會話 - 銀會話黃金會怎麼樣?然後他們可以訪問不同的區域,不是嗎?
A
回答
3
有人不能只是改變一樣可以在PHP創建的會話餅乾。考慮一下,cookie會被傳遞到他們的機器上,會話被存儲在服務器上,並在斷開連接時丟失。您應該確定要清理所有輸入,或者您的會話啓動可以被操縱
+0
如果我還記得我(餅乾)呢? –
+0
@chienpinwang餅乾可以修改。你把它們交給你的用戶,你只需要有後端檢查和平衡 – Nick
0
來自黑客的安全性覆蓋範圍要廣泛得多,而且可能非常棘手。你應該總是假設黑客可以破壞你的代碼並獲得訪問權限。
因此,我會使用數據庫而不是會話來確定用戶權限,而且我不會使用普通會話值,而是使用加密的值。也許你可以做這樣的事情:
$_SESSION['user_level'] = sha1($userId . "session-silver");
,然後每次你需要這樣的時間比較合適的哈希值。請記住,通過默默無聞的安全性不是一種安全的方法,因爲黑客可能能夠竊取您的源代碼。
免責聲明:這個建議並不打算是防彈但作爲一種體積小,便於改進當前代碼沒有過於複雜的實現快速
+0
我通常使用會話ID作爲查詢用戶數據的關鍵。 –
+0
使用sha1哈希來查詢用戶數據,並將其與密鑰的sha1進行比較。就如此容易。 –
相關問題
- 1. 會話安全
- 2. 如何安全地存儲會話ID
- 3. 會話安全性?
- 4. asp.net會話安全
- 5. Codeigniter會話安全
- 6. php會話安全
- 7. suPHP安全會話
- 8. PHP會話安全
- 9. PHP - 會話 - 安全
- 10. PHP是安全的會話
- 11. php中的會話安全
- 12. 如何安全地統計會話:Session_Start/End in Global.Asax安全/足夠安全嗎?
- 13. django會話安全會話不會過期
- 14. 會話在單個域的不同頁面上具有不同的會話ID,非安全頁面!
- 15. 爲什麼會話ID cookie不安全
- 16. 安全會話cookie不起作用
- 17. 會話管理不春季安全
- 18. 保持PHP會話安全
- 19. 會話管理和安全
- 20. 會話令牌安全parse.com
- 21. PHP會話安全問題
- 22. PHP會話和安全
- 23. 是codeigniter會話安全嗎?
- 24. 在rails和安全會話
- 25. 安全會話檢查
- 26. 安全註銷PHP會話
- 27. PHP會話安全檢查
- 28. PHP會話再生安全
- 29. 會話安全違規
- 30. PHP會話安全提示
會話數據存儲在服務器上。用戶不能僅僅改變會話數據。請參閱:http://stackoverflow.com/questions/2261716/can-php-sessions-be-manually-edited –
這是一個很好的閱讀http://stackoverflow.com/questions/5121766/can-a-user-alter如果我們在會話中使用sha1,我們將如何查詢數據?php的會話值 –