用户可以在 PHP 中更改 $_SESSION 的值吗? [英] Can a user alter the value of $_SESSION in PHP?
本文介绍了用户可以在 PHP 中更改 $_SESSION 的值吗?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
这是我的想法,我想知道是否有可能,将信息存储在 PHP 的 $_SESSION 变量中有多安全?
this is crossing my mind and I'm wondering if it is possible, how secure can it be to store info in the $_SESSION variable of PHP?
推荐答案
在 $_SESSION 变量中存储变量有两种不安全"的可能性.
Storing variables in the $_SESSION variable has two potentials for "insecurity".
- 另一个答案所描述的第一个称为会话固定".这里的想法是,由于会话 ID 存储在 cookie 中,因此可以将 ID 更改为其他用户的 ID.如果用户在每个会话中都获得一个新 ID,那么这不是问题,因此很难找到当前工作会话的 ID 并劫持它.
- 第二个完全取决于您的代码.如果您的代码泄露了您存储在 $_SESSION 中的秘密信息的值,那么它就是不安全的.如果您的代码允许用户控制该信息的值,则它是不安全的.否则,如果 $_SESSION 变量中有内容,并且您的代码不允许用户查看或写入内容,那么它就是安全的.
这篇关于用户可以在 PHP 中更改 $_SESSION 的值吗?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文