Có an toàn để sử dụngBảo mật phiên?
If ($_SESSION['authenticated'] == true) {
/////Show secure page
}
Có thể ai đó chỉ cần đi và thay đổi nơi biến phiên được lưu trữ để làm cho $ _SESSION của họ [ 'autheticated'] = true?
Điều tương tự với người dùng có $ _SESSION ['id'] = vào id chỉ mục của họ. Làm thế nào tôi có thể làm cho người bảo vệ này? Có ai đó chỉ cần đi và thay đổi giá trị id và mạo danh người dùng khác không?
Phương pháp dưới đây có phải là cách phù hợp để thực hiện điều gì đó bảo mật không?
$_SESSION['random_check'] = (random number)
và cũng lưu trữ này trong một cột trong cơ sở dữ liệu của tôi và mỗi lần tôi sẽ
If ($_SESSION['authenticated'] == true && $_SESSION['random_check'] == random_number) {
/////Then show secure page
}
Cảm ơn,
tôi sử dụng phương pháp này cho tất cả các dự án của tôi 'booleans' kết hợp với một hash của tên người dùng và ngày đăng nhập (cũng được cập nhật trong db + được tổ chức trong phiên), sau đó khi kiểm tra được thực hiện tất cả được so sánh là hợp lệ và cập nhật một lần nữa) nếu im trên chia sẻ lưu trữ bệnh thay đổi đường dẫn lưu chỉ trong trường hợp & .htaccess thư mục –