ServerSide сеансы безопасны?

Question

Я использую сеансы (на стороне сервера, а не cookie) в приложении, которое я пишу, если пользователи не получили доступ к серверу, могу ли я доверять переменной $ _SESSION или я должен проверять ее содержимое при каждой загрузке страницы?


Примечание:
Я пытаюсь ограничить количество запросов к моей базе данных, и в настоящее время я проверяю данные при каждой загрузке страницы, и я думаю, что, возможно, я могу устранить запросы, но я хочу быть уверен на 100%.

Answer 1

Да, вы можете безопасно хранить его в сеансе. Вы должны убедиться, что метод проверки является безопасным. (метод, который вы используете перед сохранением в сеансе).

Answer 2

Вам просто нужно убедиться, что сессия хранится в безопасном месте. По умолчанию сессии хранятся где-то вроде / tmp / в linux. Если пользователь может получить доступ к вашему серверу, он может редактировать переменные сеанса.

Следует рассмотреть возможность сохранения сеансов в базе данных и / или добавления проверки хеш-вычислений (md5 + секретное начальное число) к сеансам и всегда проверять, чтобы переменные сеанса не модифицировались для этого хэша.