Tôi chủ yếu là một lập trình viên C++, nhưng tôi đang cố gắng lấy một số PHP.Phiên PHP an toàn như thế nào?
Dường như cách để triển khai phiên người dùng web là lưu trữ ID đăng nhập của người dùng trong cookie bằng biến $ _SESSION.
Không thể ai đó chỉ sửa đổi cookie của họ, để cung cấp cho họ các đặc quyền khác nhau hoặc đăng nhập với tư cách người dùng khác?
Dường như cơ chế xác thực này chỉ cho phép người dùng lưu trữ ID của họ trong một tệp - và sau đó chỉ tin tưởng họ không thay đổi nó.
Có điều gì đó ngăn điều này không?
Cảm ơn!
có toàn bộ sách về chủ đề này. –
http://phpsec.org/projects/guide/4.html, http://stackoverflow.com/questions/3641958/secure-sessions-cookies-in-php, http://stackoverflow.com/questions/5608764/mục đích-của-php-phiên-và-cookie-và-sự khác biệt của họ, http://stackoverflow.com/questions/4110986/new-to-php-logins-and-sessions-is-this-safe-enough , http://stackoverflow.com/questions/1181105/how-safe-are-php-session-variables – bostaf
Bản sao có thể có của [Biến an toàn PHP là biến an toàn như thế nào?] (http://stackoverflow.com/questions/1181105/ làm thế nào-an toàn-là-php-phiên-biến) –