PHP Sessions Security: хранение сессий в БД и изменение сессий, сохранение пути?

Question

Я пытаюсь создать более безопасный скрипт входа в сессию PHP. К сожалению, для этого проекта я буду работать с виртуальным хостингом. Будет ли использование PHP-функции session_save_path() для изменения пути к чему-то отличному от /tmp безопасным решением? Или мне нужно сохранить сеансы в базе данных?

Спасибо!

Answer 1

Лично я предпочитаю хранить сеансы в базе данных, потому что это не только обходит некоторые замедления доступа к файлам, связанные с использованием файловой системы, но также дает вам более прямые и «контролируемые» методы управления данными прямого сеанса.

Если вы реализуете с использованием MySQL, используйте механизм хранения Memory (HEAP) , поскольку это даст огромный выигрыш в производительности.Это, конечно, предполагает, что вы вряд ли будете иметь тысячи или тысячи активных сессий, и что ваши данные сеанса являются «энергозависимыми», т.е. если серьезный сбой приводит к потере данных сеанса, худшее, что должно произойти, этопользователей просят войти в систему.

Answer 2

Перемещение пути сохранения сеанса - хорошее начало. Просто убедитесь, что его нет в корне документа.

С некоторыми общими хостами я заметил, что получение соединения с базой данных может занять секунду или две Хранение ваших сессий в БД может замедлить работу всего приложения. Ваш сеанс доступен дважды за загрузку страницы.

Вы можете проверить оба вида, который работает лучше.