Привет, у меня есть вопрос, связанный с безопасностью. Я разрешаю пользователям входить в систему и регистрировать мой вопрос, когда пользователь регистрируется в моем сценарии, просто устанавливает сеанс без файлов cookie, поэтому безопасно ли полагаться только на сеансы, а не на файлы cookie? или я использую как файлы cookie, так и сеансы?Список проверок сессии
ответ
PHP-сессии используют файлы cookie для отслеживания идентификатора сеанса. Таким образом, это безопасно, потому что вы на самом деле используете файлы cookie.
Следует отметить, что вы должны попытаться предотвратить session-hijacking - вы можете сделать это, проверив IP-адрес пользователя между прочим в вашем объекте $_SESSION
.
Редактировать
Я предлагаю вам прочитать this. Цитата:
session_start() функция генерирует случайный Id и сохраняет Session его в куках на компьютере пользователя (это единственная сессия информации, которая на самом деле хранится на стороне клиента.) По умолчанию имя для cookie - PHPSESSID, хотя это может быть изменено в файлах конфигурации PHP на (большинство хостинговых компаний будет ). Чтобы ссылаться на идентификатор сеанса в вашем коде PHP , вы должны ссылаться на переменная $ PHPSESSID (это имя файла cookie ; помните, что из Cookies?)
Примечание: сохраняет его в печенье
- 1. Лучший способ написать список && проверок?
- 2. Fix Width in jQuery Раскрывающийся список проверок
- 3. Список проверок Excel, позволяющий вводить недопустимые входы
- 4. Очистить список в сессии объект
- 5. Количество проверок
- 6. оповещение обусловливающего проверок модели
- 7. Pythonic Решение нескольких проверок
- 8. как сохранить список объектов в сессии
- 9. Добавление элемента в список Generic в сессии
- 10. Получите список моих предыдущих проверок, используя Facebook API
- 11. Как выполнить список проверок с помощью Gnu Make?
- 12. Список проверок лучшей практики, чтобы сделать Android WebView Secure
- 13. TFS: просмотр проверок по проекту
- 14. Проверка списка проверок ASP.NET MVC
- 15. jquery addclass для пользовательских проверок
- 16. Textbox ошибки целочисленных проверок
- 17. 2 таблицы проверок Mysql
- 18. Предотвращение проверок для SVN
- 19. Количество необходимых проверок
- 20. Выполнение пользовательских проверок relativelayout
- 21. несколько проверок расширения файла
- 22. Как запустить серию проверок?
- 23. Получение проверок от друзей
- 24. GIT несколько местных проверок
- 25. SVN: История проверок пользователей?
- 26. Cruisecontrol.net отсутствующих проверок
- 27. PHP - диапазон проверок даты
- 28. Группа проверок ASP.NET MVC
- 29. postgresql значения проверок домена
- 30. Избегайте нулевых проверок
Я использую session_regenerate_id() и я проверка агента пользователя при входе в систему и когда я проверяю я вижу только PHP идентификатор сеанса, который является тем, что мой сценарий однако при показе деталей я использую $ _SESSION ['userid']; правильно ли это сделать? –
что-то все/вы/мне нужно знать http://shiflett.org/articles/session-hijacking и http://shiflett.org/articles/storing-sessions-in-a-database: P доверять мне больше не больше информативный/полезный, чем те статьи –
@NullPointer Я не сохраняю user_agent в cookie, но в сеансе –