Хранение данных в PHP $ _SESSION небезопасно?

Question

Насколько я понимаю, процессы PHP не ведут себя как процесс сервера приложений.Таким образом, после выполнения скрипта процесс PHP не сохраняет пользовательских данных.Вместо этого он сохраняет их в куки пользователя.То, что мы храним в $_SESSSION, уходит в куки.Это правда?Если да, то хранятся ли они в виде открытого текста или выполняется какое-либо кодирование или шифрование?

Answer 1

Нет, единственное, что входит в файл cookie сеанса, - это идентификатор сеанса - случайная буквенно-цифровая строка. Все данные сеанса хранятся на сервере в файле (с использованием обработчика сеанса по умолчанию, хотя вы можете переопределить сохранение данных в любом месте / любым способом).

Answer 2

Нет, это не правда.В файле cookie сеанса хранится только идентификатор сессии.Все данные сеанса хранятся на стороне сервера (хотя по умолчанию в текстовом формате).

Answer 3

Файл cookie, который хранится на клиентском компьютере, является идентификатором сеанса.Сам «сеанс» находится на сервере.Когда страница запрашивается во время сеанса, идентификатор сеанса добавляется к строке запроса, которая позволяет серверу знать, какой сеанс загружать для этого запроса.

Если идентификатор сеанса не украден (и сеанс не «захвачен»), сеансы безопасны.Вы можете защититься от этого (в некоторой степени), сохранив IP-адрес и строку User Agent, которые создали сеанс в сеансе, и сравнив их с запрашивающим IP-адресом и строкой User Agent для каждого доступа к странице.Просто помните, что они основаны на HTTP-заголовках и могут быть подделаны.

Answer 4

Cookies - это просто идентификаторы магазина у клиента Они предоставляются серверу с каждым HTTP-запросом. Затем сервер сопоставляет идентификатор cookie с сохраненными данными и получает правильные значения для $ _SESSION.