php – 在会话中存储什么？

我知道会话固定和劫持的所有问题.我的问题非常基本：我想用 PHP创建一个身份验证系统.为此,登录后,我只会将用户ID存储在会话中.

但是：我看到有些人做了一些奇怪的事情,例如为每个用户和会话生成一个GUID,并在会话中存储而不仅仅是用户ID.为什么？

会话的内容无法通过客户获得 – 或者可以吗？

用户通常不能访问会话的内容.你应该能够存储用户的主键,你会没事的.有些会话可以泄露,在正常的Linux系统上会话文件夹在/ tmp中,但是这可以在php.ini中更改为web根目录(/ var / www / tmp)然后可以访问.唯一的另一种方法是,如果用户能够通过劫持对eval()的调用或正常打印的变量来访问$_SESSION超级全局.

如果您在共享主机上运行并使用旧版本的PHP和/或您的服务器配置错误,则此系统上的其他用户可能会读取甚至修改存储在/ tmp /中的会话文件.我不知道有一个应用程序会考虑这种攻击.如果这是一个问题,您可以将信息存储在数据库的会话表中.

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!