Làm cách nào để tăng tính bảo mật cho các phiên của tôi?Bảo mật phiên mã hóa
$this->session->userdata('userid')
Tôi đã ném cậu bé xấu này xung quanh cuộc gọi ajax của tôi. Một số trường hợp tôi không có. Sau đó, tôi đã như thế, là điều này thực sự an toàn bằng cách sử dụng id từ DOM? nếu DOM bị thay đổi để hack dữ liệu tài khoản người dùng thì sao? Vì vậy, sau đó tôi đã như tôi đoán bất cứ lúc nào một người dùng đang làm một cái gì đó liên quan đến id của họ, chỉ có phiên nên được tham chiếu. Tôi có đúng không?
Được tham chiếu như vậy:
$this->some_model->do_data_stuff($dataId, $this->session->userdata('userid'));
Sau đó, tôi đọc:
Trong khi các mảng dữ liệu phiên lưu trữ trong cookie của người dùng chứa một Session ID, trừ khi bạn lưu trữ dữ liệu phiên trong một cơ sở dữ liệu không có cách nào để xác thực. Đối với một số ứng dụng đòi hỏi ít hoặc không có bảo mật, xác thực ID phiên có thể không cần thiết, nhưng nếu ứng dụng của bạn yêu cầu bảo mật, việc xác thực là bắt buộc. Nếu không, một phiên bản cũ có thể được khôi phục bởi người dùng sửa đổi cookie của họ. http://codeigniter.com/user_guide/libraries/sessions.html
Tôi sẽ không được lưu trữ dữ liệu tài chính nhưng tôi không muốn bất kỳ dữ liệu trên trang web của tôi bị hỏng bao giờ hết. SO có sử dụng xác thực phiên không? Chi phí xác nhận này sẽ mất bao nhiêu tiền? Một phiên bị tấn công như thế nào? Một số điều cần tìm ra với bảo mật phiên là gì?