用户可以在PHP中更改$ _SESSION的值吗? [英] Can a user alter the value of $_SESSION in PHP?
本文介绍了用户可以在PHP中更改$ _SESSION的值吗?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
这是我的主意,我想知道是否有可能,将信息存储在PHP的$ _SESSION变量中有多安全?
this is crossing my mind and I'm wondering if it is possible, how secure can it be to store info in the $_SESSION variable of PHP?
推荐答案
在$ _SESSION变量中存储变量有两种潜在的不安全性".
Storing variables in the $_SESSION variable has two potentials for "insecurity".
- 另一个答案所描述的第一个被称为会话固定".这里的想法是,由于会话ID存储在cookie中,因此该ID可以更改为另一个用户的ID.如果用户在每个会话中都有一个新的ID,这不是问题,因此很难找到当前正在工作的会话的ID并对其进行劫持.
- 第二个完全取决于您的代码.如果您的代码泄漏了存储在$ _SESSION中的机密信息的值,则它是不安全的.如果您的代码允许用户控制该信息的值,则它是不安全的.否则,如果$ _SESSION变量中包含某些内容,并且您的代码从不允许用户查看或写入该内容,则它将是安全的.
这篇关于用户可以在PHP中更改$ _SESSION的值吗?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文