用户可以在 PHP 中更改 $_SESSION 的值吗? [英] Can a user alter the value of $_SESSION in PHP?

问题描述

这是我的想法，我想知道是否有可能，将信息存储在 PHP 的 $_SESSION 变量中有多安全?

this is crossing my mind and I'm wondering if it is possible, how secure can it be to store info in the $_SESSION variable of PHP?

推荐答案

在 $_SESSION 变量中存储变量有两种不安全"的可能性.

Storing variables in the $_SESSION variable has two potentials for "insecurity".

• 另一个答案所描述的第一个称为会话固定".这里的想法是，由于会话 ID 存储在 cookie 中，因此可以将 ID 更改为其他用户的 ID.如果用户在每个会话中都获得一个新 ID，那么这不是问题，因此很难找到当前工作会话的 ID 并劫持它.
• 第二个完全取决于您的代码.如果您的代码泄露了您存储在 $_SESSION 中的秘密信息的值，那么它就是不安全的.如果您的代码允许用户控制该信息的值，则它是不安全的.否则，如果 $_SESSION 变量中有内容，并且您的代码不允许用户查看或写入内容，那么它就是安全的.

这篇关于用户可以在 PHP 中更改 $_SESSION 的值吗?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！