4
我目前使用下面的代碼在我的CMS檢查,如果訪問者登錄爲管理員,這樣他就可以編輯當前頁:PHP會話變量的錯誤處理?
if($_SESSION['admin']=="1")
{
echo "<a href="foobar/?update">edit</a>";
}
但我擔心的是,代碼是不安全的。不能$ _session變量很容易被用戶修改?
什麼是更安全的做法?
A
回答
4
不,這是一個很好的方法。用戶不能修改$ _SESSION全局,除非他有權訪問您的服務器。請記住遠離客戶端Cookie。
爲了使它更安全,一個好方法是存儲IP地址並檢查它在每個請求之間保持不變。
0
一旦編碼安全,會話變量應該足夠安全。
另外,請使用以下代替。停止錯誤== 也許也應該使用真實,因爲它比字符串比較快很多。
if("1" === $_SESSION['admin'])
1
$_SESSION變量不能由用戶設置。代碼因此非常好,儘管通常會詢問您的用戶後端(通常只是一個表用戶,有時是LDAP)關於當前用戶的權限。
3
代碼是確定的,你只是顯示一個鏈接。只要確保你的UPDATE腳本也受到了保護。
1
,我發現這個演講有關會話安全
它說明了如何避免:
- 會話固定。
- 會話劫持。
另外隨着更多信息的幻燈片有一些真貨鏈接
相關問題
- 1. PHP會話變量錯誤?
- 2. 會話變量錯誤
- 3. 會話變量錯誤asp.net
- 4. PHP會話處理
- 5. 處理PHP會話
- 6. php會話處理
- 7. php變量會話變量
- 8. 會話變量處理不當
- 9. 處理程序更改會話變量?
- 10. 處理會話變量超時
- 11. 使用會話變量循環處理
- 12. PHP中的會話處理
- 13. Php - 會話變量
- 14. php會話變量
- 15. PHP會話變量
- 16. PHP會話變量()
- 17. PHP會話變量
- 18. php會話變量
- 19. 使用PHP $ _COOKIE管理會話變量
- 20. Node.js + Express中會話變量的錯誤
- 21. ASP.NET MVC RC2 - 會話處理錯誤?
- 22. 將會話變量插入PHP表單處理腳本
- 23. 使用會話和重定向的php錯誤處理
- 24. php中的變量會話
- 25. PHP中的會話變量
- 26. 會話處理(PHP與JavaScript)
- 27. PHP - Memcached - 會話處理
- 28. 如何處理會話php
- 29. Node.js的變量到PHP會話變量
- 30. PHP - 默認會話處理與自定義會話處理
謝謝!檢查IP聽起來不錯;我認爲你應該在session_start()之後直接存儲ip,例如: session_start() $ _SESSION [「visitorIp」] = $ _SERVER ['REMOTE_ADDR']; 對不對? – AquinasTub 2009-05-04 14:27:06