-1

我有一个会话的$token

如何在不使用 cookie 的情况下检查当前会话是否属于此令牌?

我尝试了一些:

$token = strip_tags($_GET['key']); // Here I obtain the token of a user
$session = new sfsession();
$session->setId($token);
$session->start();

在这一点上,我必须检查当前会话是否属于带有令牌 $token 的会话。

4

1 回答 1

0

因此,如果包含密钥,您想测试会话 ID 在浏览器中是否保持相同?

除了安全问题(例如会话劫持)之外,您不能直接测试会话令牌。

但是,您可以尝试在会话中设置另一个变量,在最初生成您在 URL 中使用的密钥时:

$session->set("securityToken", $token);

然后在登陆下载页面上,使用您问题中的代码开始会话后,您可以添加:

if ($session->get("securityToken") == $token) {

// user legit

}
于 2013-09-24T14:53:07.013 回答