2
我正在寫一個項目,在註冊後我保存每個客戶的id在session。 據我所知,session存儲在服務器端的數據,所以它似乎是安全的。但是當會話變量以散列形式存儲時,我多次見過。爲什麼人們以散列形式保存會話數據?
那麼,爲什麼他們這樣做?
非常感謝
A
回答
2
在大多數情況下,$ _SESSION的內容是安全的。我已經看了很多應用程序,而且我還沒有看到這種散列任意數據的做法。有時像CSRF令牌這樣的值被存儲,並且通常這些都是哈希值。 PHP使用散列函數生成會話標識(cookie值),但這只是一個隨機數。攻擊者有可能訪問通常存儲在/ tmp /中的會話文件。這可以通過SQL注入使用MySQL的load_file()或使用目錄遍歷來完成。有時可以在共享主機環境中訪問其他用戶的會話信息。大多數開發人員不會考慮這種攻擊。
2
使用散列函數並不總是與安全相關的。哈希的最初用途之一是爲文件創建一個準獨特的指紋,以便確保它真的是您想要的文件。如果您想在會話中存儲大量數據,但稍後只需與其進行比較,則永遠不會知道確切的內容,散列可能會節省硬盤驅動器空間並執行比較操作。
相關問題
- 1. 他們爲什麼要在數組中保存散列?
- 2. 什麼數據結構我們通常使用散列表存儲散列鍵?
- 3. 爲什麼我不能以散列格式打印散列表?
- 4. 爲什麼會話在集成rspec中變爲空散列?
- 5. 爲什麼人們會這樣創建數組列表?
- 6. Pthread:爲什麼人們會使用pthread_exit?
- 7. 我們爲什麼需要將會話存儲在數據庫中?
- 8. 以列表形式保存子列表
- 9. 什麼保存會話? NSURLRequest或NSURLConnection?
- 10. 爲什麼會話中丟失數據?
- 11. 在數據庫中保存會話的最佳方式是什麼?
- 12. 爲什麼我的會話隨機不會保存?
- 13. 緩存或會話形式
- 14. Java - 將數據保存到散列圖
- 15. PHP的形式,會話數據不會被存儲
- 16. 爲什麼我無法在會話中保存ASP.NET中的隱形陣營?
- 17. 爲什麼會話[:USER_ID]自動保護
- 18. 爲什麼Cookie會話保持死亡
- 19. 在會話中存儲散列表
- 20. 以一種形式保存多列
- 21. 爲什麼不能在散列表中存儲散列表?
- 22. 爲什麼coldfusion不在數據庫中存儲會話
- 23. 有什麼方法可以將PHP會話保存在RAM中?
- 24. 爲什麼將oauth 1.0令牌存儲在數據庫中 - 爲什麼不只是保持會話呢?
- 25. 爲什麼數據不能保存?
- 26. 爲什麼我們檢查散列,如果我們要檢查等於什麼?
- 27. 在iPhone中保存會話數據
- 28. Silex會話不保存數據?
- 29. IE9不保存會話數據
- 30. 在數據庫中保存會話
啊,這是他們唯一合理的載體 - 但我還沒有看到的情況下,即使是在共享主機,所有的網站將使用'/ tmp' - 大部分的時間,他們得到自己的臨時空間某處其他。 – Piskvor 2010-09-13 08:36:43