我目前正在瞭解Web應用程序中的安全方面。如何安全地存儲和訪問用戶會話數據
我的應用程序用於通過成功登錄時創建的cookie識別當前用戶。它包含用戶的ID。每次用戶向數據庫發出請求時,我的應用程序都會使用該ID來選擇僅與該ID關聯的結果。
然而,正如我瞭解到,這將是一點問題都沒有簡單地改變cookie的值,因此可以訪問其他用戶的數據。
我現在的問題是:我怎麼會安全地存儲這些數據,並使其可用於PHP和JavaScript的?
我想到了HTML5 sessionStorage,但那也會很脆弱。
我的第二個想到的是它的PHP僅在$ _SESSION變量中存儲,但我無法通過JavaScript訪問它的價值。
我覺得我不能環繞的如何建立一個安全和功能的用戶管理系統的基本概念,我的頭。
任何幫助將不勝感激。
可以打開在服務器的會話與聯營用戶ID –
驗證cookie的你考慮的可能性你不需要這個值客戶端(JavaScript)?任何類型的驗證都應該在服務器端完成。 – Gray
您是否閱讀過手冊:http://php.net/manual/en/session.examples.basic.php? – jeff