2

基本上这就是我正在做的事情:

我使用 PHPXMLRPC 与 Odoo 进行通信。

本质上,要针对我需要发送的每个请求进行通信,需要遵循以下结构:

//The database I wish to connect too
$msg->addParam(new xmlrpcval($this->dbname, "string"));

//The logged in user id
$msg->addParam(new xmlrpcval($this->userID, "int"));

//The logged in users password
$msg->addParam(new xmlrpcval($this->password, "string"));

//The model
$msg->addParam(new xmlrpcval("project.project", "string"));

//The method Im requesting to call
$msg->addParam(new xmlrpcval("read", "string")); 

//Query parameters
$msg->addParam(new xmlrpcval($id_list, "array")); 
$msg->addParam(new xmlrpcval($field_list, "array"));

现在我编写了一个类,它在其构造函数中将实例变量设置为传递给其构造函数的值,即

class PHPClient{
   private $userName;
   private $password;
   private $dbname;
   private $server_url;
   private $userID;



public function __construct($server_url, $database, $user, $password)
{
    $this->server_url = $server_url;
    $this->dbname = $database;
    $this->userName = $user;
    $this->password = $password;
    $this->userID = False;


}

在某些情况下,我希望在其他地方再次使用同一个对象,也许是在另一个页面中。与其要求用户再次有效地“登录”并再次输入他们的所有详细信息然后必须创建另一个对象,不如将 PHPClient 对象序列化并存储在会话中然后存储在我需要使用的任何其他页面中是否足够安全对象以验证用户是否已登录并具有足够的权限,然后反序列化该对象以执行任何进一步的 RPC 请求?

4

2 回答 2

5

您可以安全地跨请求序列化。您甚至可以安全地将用户输入放入数据中,然后对其进行序列化。

但是,永远不要反序列化用户可能修改的数据。例如,切勿反序列化 cookie 或表单有效负载,或其他服务器发送给您的任何内容。

所以是的,序列化以在会话中存储数据是完全安全的。

于 2015-04-22T14:02:15.307 回答
2

我假设您正在讨论将对象存储在 %_SESSION 变量中。此变量存储在服务器上,因此只能从服务器修改。因此会话与您的服务器一样安全。如果用户可以通过应用程序错误登录到您的服务器或导致您的服务器行为不正确,则会话不是很安全。否则,它可能已经足够好了。

具体回答

PHP对象序列化有多安全

序列化根本不安全。它是数据的编码,而不是加密。任何人都可以反序列化、修改和重新序列化对象。所以序列化没有增加安全性。如果会话对您来说不够安全,那么您需要添加额外的安全性。

于 2015-04-22T14:03:18.130 回答