正如您正确指出的那样,在安全方面,您不能信任来自客户端的任何信息。这意味着您必须在调用此类页面时将其存储在服务器端。
一种常见的做法是在 cookie 中为每个客户端提供一个会话标识符,在服务器端,您可以将所有敏感信息与该会话标识符相关联。会话标识符应该是随机的,因为如果它是连续的,您可以更改其值并随机劫持其他人的会话。
有多种方法可以存储有关会话标识符的信息。PHP 中最灵活且可能最容易实现的一种是使用内置会话支持。PHP 为您处理会话标识符,并允许您将任何可序列化对象存储在$_SESSION超全局中。这是一个不错的解决方案,因为会话数据通常存储在服务器的临时文件夹中,如果它是共享服务器,理论上该服务器上的其他网站可能会窥探并查看甚至操纵会话数据。当然,如果你的所作所为真的影响很小,那么就不太可能有人会为了惹你而租用同一台服务器。不过,例如,OAuth 提供商建议您不要将 OAuth 令牌$_SESSION存储在公共环境的存储中。
<?php
session_start();
// place anything you need to save between pages in $_SESSION
$_SESSION["foo"] = array("bar", "baz");
// until you unset $_SESSION["foo"], it will be available in every page that called
// session_start().
?>
最好session_destroy在用户注销时调用,以确保他们的会话数据不存在超过其需要的时间。
另一方面,您也可以将信息存储在数据库中,例如 MySQL。这在安全性方面更好,因为您应该远离没有不同数据库用户或每个服务器用户的不同数据库的任何主机,并且您可以放心,没有其他人将能够更改(甚至只是看到)会话信息。但是,这并不灵活,因为您需要一个表结构来存储您想要存储的任何内容。