0

我正在尝试实现一种与会话持续的收藏夹列表。目前我的会话存储在数据库中,收藏夹存储在一个单独的表中,其中包含用户的 session_id。我的问题是:

这些会话 id 值有多可靠?尽管这些收藏夹中没有敏感数据,但其他人是否可以传递一些其他会话 id 值并篡改其他用户的收藏夹?(我猜他们可以,但除了他们传递另一个已知的会话 id 之外,怎么能猜到?)

会话 ID 会一直存在吗?在我的库中,我一直在引用会话 ID——假设每个用户都有一个会话 ID 是否安全?(PHP/CI 会自动创建一个没有通过的吗?)

提前致谢!

4

1 回答 1

1

application/config/config.php“会话变量”下是一个布尔值sess_encrypt_cookie,它可以隐藏会话 ID。还有一些选项需要匹配的 IP 地址和用户代理。这应该使某人很难欺骗会话 ID,即使他们知道它是什么。

关于会话 ID 是否始终存在,如果您的应用在页面加载时启动会话,则可以安全地假设存在会话 ID。但是,它会在一段时间不活动后过期,因此下次用户访问时可能会不一样,这意味着您的所有会话设置将在他们离开时丢失。

希望这可以帮助。

于 2011-04-09T21:15:54.863 回答