3
當用戶登錄到站點時,我需要以某種方式存儲登錄的用戶ID,以便我的站點可以爲不同的用戶生成不同的內容。PHP:存儲登錄用戶
將用戶ID保存在$_SESSION[]變量中安全嗎?
用戶是否可以更改$_SESSION[]數據並僞裝成另一個用戶?
我使用id來檢查我應該從數據庫中獲取哪些數據並查看用戶擁有哪些權限。
A
回答
4
最好的和被接受的做法是將用戶ID保存在會話中。
該會話默認作爲文件存儲在/tmp中。除非您有安全問題,例如directory traversal漏洞,否則最終用戶無法查看。大多數應用程序按照原樣使用$_SESSION。如果那裏存在大範圍的弱點,那麼重大項目會以不同的方式做事。您不必擔心通過客戶端漏洞獲取服務器端會話值。還要記住使用會話的簡單性。它使數據訪問您需要不斷訪問的,用戶特定的數據,在整個應用程序中保持標準和一致。
+0
所以一個簡單的方法來保存我想保存的數據是安全的,看起來很棒! :) –
+1
+1。 「$ _SESSION」系統的重點在於存儲這種數據。這是所有人都這樣做的方式,這是你應該做的。有一些注意事項需要注意(例如,如果託管公司對其安全性不在意,'/ tmp'可以被共享主機上的其他站點所有者訪問),但是通常'$ _SESSION'是安全可靠的作爲你可以想到的其他任何東西。如果你真的擔心它,可以使用像Suhosin這樣的擴展,在後臺加密會話數據(許多託管公司默認使用Suhosin)。 – SDC
相關問題
- 1. [PHP]用戶抱怨Facebook登錄後登錄到預存帳戶
- 2. 存儲登錄的用戶數據
- 3. 存儲密碼進行用戶登錄
- 4. 哪裏存儲用戶登錄信息?
- 5. 哪裏存儲用戶登錄信息?
- 6. 使用PHP存儲Facebook登錄
- 7. PHP MySQL存儲登錄歷史
- 8. 用戶用php/javascript登錄
- 9. Asp.net,在哪裏存儲登錄用戶的用戶名?
- 10. Codeigniter:存儲用戶登錄和登出時間
- 11. 顯示歡迎使用php登錄用戶名登錄用戶
- 12. Php用戶登錄會話
- 13. Php單用戶登錄
- 14. 驗證用戶登錄php
- 15. PHP:與登錄用戶
- 16. PHP用戶登錄更改!
- 17. AngularJS PHP MYSQL用戶登錄
- 18. 如何使用javascript登錄但用php/mysql存儲用戶信息?
- 19. php mysql用戶登錄顯示用戶存在
- 20. 未登錄存儲信息
- 21. 登錄系統和存儲
- 22. 登錄存儲建議
- 23. 用戶登錄信息存儲到黑莓應用程序中
- 24. 使用存儲的用戶名和密碼登錄Wordpress
- 25. 使用Django會話來存儲登錄用戶
- 26. 在登錄時存儲用戶信息供以後使用
- 27. PHP登錄 - 從數據庫獲取用戶數據或存儲在會話中?
- 28. MySQL + PHP - 每次用戶登錄時存儲時間戳的最佳方法
- 29. 如何從登錄頁面存儲用戶標識會話在php
- 30. SoftLayer對象存儲通過客戶門戶登錄?
只有當其他用戶能夠獲取其他用戶的會話ID時纔有可能。因此,如果您打算將會話ID存儲在數據庫中,則應對其進行散列或加密。 – Kermit
我會散列它,所以如果有人得到的信息,他們不能僞裝成另一個用戶(他們可以得到一個保存在SESSION,但很難將其更改爲另一個) – Skatox
用戶不可能更改會話數據,它用戶可以劫持會話ID並假裝成與該會話相關聯的用戶 – Crisp