我在寫一個應用程序時使用(服務器端,而不是cookie)會話,如果用戶沒有獲得服務器的訪問權限,我可以信任$ _SESSION變量還是應該驗證每個頁面加載的內容?
注:
我想查詢的數量限制到我的數據庫,目前我正在驗證對每一個頁面加載的數據,和我,以爲我也許可以消除查詢,但我想100%肯定。ServerSide會話安全嗎?
1
A
回答
3
是的,你可以安全地將它存儲在會話中。您應該確保驗證方法是安全的。 (您在存儲在會話中之前使用的方法)。
2
你只需要確保會話存儲在安全的地方。默認情況下,會話存儲在/ tmp/linux等某處。如果用戶可以訪問你的服務器,他們可以編輯會話變量。
您應該考慮將會話保存到數據庫,和/或向會話添加散列計算(md5 +祕密種子)驗證,並始終檢查會話變量是否未針對該散列進行修改。
相關問題
- 1. 是codeigniter會話安全嗎?
- 2. user_Id會話安全嗎? Hartl
- 3. 會話安全
- 4. jsf 2.0支持會話bean安全嗎?
- 5. 是匿名會話安全嗎?
- 6. Django會話線程安全嗎?
- 7. 會話線程安全嗎?SMPP Logica庫
- 8. 這樣會話數據更安全嗎?
- 9. 會話安全性?
- 10. asp.net會話安全
- 11. Codeigniter會話安全
- 12. php會話安全
- 13. suPHP安全會話
- 14. PHP會話安全
- 15. PHP - 會話 - 安全
- 16. 如何安全地統計會話:Session_Start/End in Global.Asax安全/足夠安全嗎?
- 17. 保持PHP會話安全
- 18. 會話管理和安全
- 19. 會話令牌安全parse.com
- 20. PHP會話安全問題
- 21. PHP會話和安全
- 22. 在rails和安全會話
- 23. 安全會話檢查
- 24. 安全註銷PHP會話
- 25. PHP會話安全檢查
- 26. PHP會話再生安全
- 27. 會話安全違規
- 28. PHP會話安全提示
- 29. 會話,cookie和安全
- 30. Expressjs安全會話cookie
順便說一句,它取決於你存儲在會話中的哪些信息。我們將整個用戶對象存儲在會話中。這意味着我們需要一種「刷新」方法來同步會話/數據庫數據,例如當用戶更新其信息時。 – Ropstah 2009-05-20 09:55:53
這正是我目前正在驗證用戶對象的數據。 – UnkwnTech 2009-05-20 10:31:19