我从 Internet 获得了一个 PHP 登录系统插件,它不使用手动创建的 cookie,只使用会话。(与会话相关的cookies是自动创建的)
使用这样的登录系统是否安全?
问问题
9403 次
3 回答
8
是的,会话登录系统是安全的,甚至比仅使用 cookie 的方法更安全。
标准会话在 PHP 中使用 cookie,但可以不使用 cookie,如果您是受虐狂,这很有趣。如果您喜欢疼痛,请检查此问题。
只需谷歌“会话好处”或“会话与 cookie”。并在没有 cookie的会话上阅读此页面,尤其是最后一点(缺点)。
请注意,客户端的安全性是这里的主要问题:如果您不小心,共享链接可能意味着共享会话。考虑让一个客户端使用被劫持的浏览器登录,他/她的会话 ID 现在是公共财产。XSS 攻击也是如此。
因此,您必须记录客户端的 IP,该 IP 可能会不时更改。您将不得不一次又一次地检查并发连接...啊,太可怕了...您需要检查的东西太多了。
另请查看 SO 上的此帖子,以获取有关会话和 cookie 的更多详细信息:
于 2013-07-03T13:54:11.950 回答
8
有两种使用会话的方法。
- sessionID 存储在用户计算机上的 cookie 中
- sessionID 在每次页面加载时作为查询参数传回服务器。
现在,无论如何它只是存储在 cookie 中的会话 ID,这不会使其不安全。
但是,如果您使用方法 2 并将 sessionID 作为查询参数传递,则安全性会降低,因为会话 ID 将存储在浏览器历史记录中,即使稍后重新打开浏览器时也会删除会话 cookie。关闭浏览器。
困惑来自于不了解会话是如何工作的。使用 cookie 的会话,不在客户端计算机上存储任何会话信息,只存储会话的 ID。无论您选择基于 cookie 还是无 cookie 的会话处理方法,会话信息都存储在服务器上
于 2013-07-03T14:02:53.720 回答
-4
是的,会话更安全,黑客更难攻击您的网站,而 cookie 可以轻松编辑以满足黑客的需求。
于 2013-07-03T14:16:02.370 回答