用户可以在PHP中更改$ _SESSION的值吗? [英] Can a user alter the value of $_SESSION in PHP?

问题描述

这是我的主意，我想知道是否有可能，将信息存储在PHP的$ _SESSION变量中有多安全?

this is crossing my mind and I'm wondering if it is possible, how secure can it be to store info in the $_SESSION variable of PHP?

推荐答案

在$ _SESSION变量中存储变量有两种潜在的不安全性".

Storing variables in the $_SESSION variable has two potentials for "insecurity".

• 另一个答案所描述的第一个被称为会话固定".这里的想法是，由于会话ID存储在cookie中，因此该ID可以更改为另一个用户的ID.如果用户在每个会话中都有一个新的ID，这不是问题，因此很难找到当前正在工作的会话的ID并对其进行劫持.
• 第二个完全取决于您的代码.如果您的代码泄漏了存储在$ _SESSION中的机密信息的值，则它是不安全的.如果您的代码允许用户控制该信息的值，则它是不安全的.否则，如果$ _SESSION变量中包含某些内容，并且您的代码从不允许用户查看或写入该内容，则它将是安全的.

这篇关于用户可以在PHP中更改$ _SESSION的值吗?的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！