php – 这是会话变量的安全使用吗?
发布时间:2020-12-13 17:39:57 所属栏目:PHP教程 来源:网络整理
导读:我使用$_SESSION [‘name’]来处理页面之间的数据.我主要使用它来保持用户在页面之间登录.在每个页面中,我检查$_SESSION [logged_in’]是否为真.如果为true,请保持用户登录.否则,请执行其他操作. 这是我处理我的会话的方式 – 基本样本: ?phpsession_start(
|
我使用$_SESSION [‘name’]来处理页面之间的数据.我主要使用它来保持用户在页面之间登录.在每个页面中,我检查$_SESSION [logged_in’]是否为真.如果为true,请保持用户登录.否则,请执行其他操作.
这是我处理我的会话的方式 – 基本样本: <?php
session_start();
if($_SESSION['logged_in'])
{
//show control panel list
}
else
{
//show login box. Once user logs in. Once user logs in,//fetch userID,username,etc from database. Also set
//$_SESSION['logged_in'] = true.
}
?>
在代码之间的某处我执行以下操作: SELECT * FROM User WHERE userID = $_SESSION['userID']; 我不确定用户是否可以访问$_SESSION [‘userID’].如果它可访问,则页面将处于威胁状态,因为用户可以手动更改用户ID并访问他/她希望的其他帐户. 我不太注重安全.请指教!我能做什么? 注意:我正在尝试使代码尽可能简单.目前,没有涉及oop. 解决方法
这非常好,这里有一些其他的会话管理技巧:
>不接受来自GET / POST变量的会话标识符:建议不要使用URL中的会话标识符(查询字符串,GET变量)或POST变量,因为它可以简化此攻击.在设置GET / POST变量的表单上很容易建立链接.>在每个请求上重新生成SID:在PHP中使用session_regenerate_id().每次用户的访问级别更改时,都必须重新生成会话标识符.这意味着虽然攻击者可能欺骗用户接受已知的SID,但是当攻击者试图重新使用SID时,SID将无效. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |