当让用户登录网站时,我需要以某种方式存储登录的用户 ID,以便我的网站可以为不同的用户生成不同的内容。
将用户的 ID 保存在 $_SESSION[]变量中是否安全?
用户是否可以更改$_SESSION[]数据并伪装成另一个用户?
我使用 id 来检查我应该从数据库中获取哪些数据并查看用户拥有哪些权限。
问问题
1427 次
1 回答
5
最佳且公认的做法是将用户 ID 保存在会话中。
会话默认存储/tmp为文件。除非您遇到目录遍历漏洞等安全问题,否则最终用户无法查看它。大多数应用程序$_SESSION都照常使用。如果存在广泛的弱点,那么主要项目将采取不同的做法。您不必担心通过客户端漏洞获取服务器端会话值。还要记住使用会话的简单性。它使数据访问您需要在整个应用程序中持续、标准和一致地访问的用户特定数据。
于 2013-01-08T15:29:06.990 回答