Question

Я довольно новичок в PHP и использую $ _SESSION для хранения активных пользовательских данных.Однако мне сказали, что это небезопасно.Это правда?

Обычно я храню в сеансе PHP следующее:

LoggedIn
ID пользователя
Имя пользователя
Электронная почта
Имя
Фамилия

Если это небезопасно, какие еще существуют безопасные методы?

Спасибо.

Linus Kleen · Answer 1 · 10 февраля 2011

Они небезопасны в зависимости от типа хранилища.

Безопасным методом было бы использование пользовательских обработчиков сеансов (через session_set_save_handler) и хранение информации «где-то в безопасности» (т.е. не в виде файлов сеансов в глобально читаемом каталоге /tmp).

chx · Answer 2 · 10 февраля 2011

Зависит. Если вы используете общий хостинг, а также используете обработчик файловых сессий по умолчанию, возможно, кто-то другой может их прочитать. Это единственный риск, о котором я знаю. Однако лучше избегать общих хостов, которые настроены таким образом, потому что тогда пользователи могут читать все остальное, что у вас есть, например, конфигурацию базы данных, и, следовательно, украсть вашу базу данных ...

PHP Session Security

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

PHP Session Security

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов