Хранение идентификаторов записей в сеансах PHP, в открытом виде?

Question

Мне нужно сохранить значение user_id в сеансе PHP.

Это нормально для меня, чтобы сделать это в открытом виде

$_SESSION['user_id'] = 10;

Или какие методы, которые относительноПростота реализации будет лучше для повышения безопасности?(приложение не содержит никакой сверхкритической или конфиденциальной информации, такой как оплата и т. д., поэтому я не хочу переходить к началу)

Answer 1

Только люди, которые могут читать, это вы (через $_SERVER) и любой, у кого есть доступ к тому, где вы храните сеансы (при условии, что они основаны на файлах).Обычно это /tmp/, но вы можете изменить с помощью ini_set('session.save_path', BASE.'sessions');.

Кроме того, в вашем примере не так много важной информации.Что может сделать злоумышленник, если знает свой собственный идентификатор пользователя?

Answer 2

Идентификатор пользователя (или любой первичный ключ базы данных) не является особо конфиденциальной информацией. Он часто предоставляется пользователю или публике, поэтому не нужно беспокоиться о сохранении его в массиве сеансов.

Безопасность вашей системы никоим образом не должна зависеть от того, знает ли кто-то первичный ключ (id) для пользователя в вашей базе данных.

Answer 3

Массив $_SESSION существует только на стороне сервера, поэтому он доступен только для вашего кода.В вашем примере я не вижу ничего, о чем можно беспокоиться.