Привет, у меня есть вопрос, связанный с безопасностью. Я разрешаю пользователям входить в систему и регистрировать мой вопрос, когда пользователь регистрируется в моем сценарии, просто устанавливает сеанс без файлов cookie, поэтому безопасно ли полагаться только на сеансы, а не на файлы cookie? или я использую как файлы cookie, так и сеансы?Список проверок сессии
PHP-сессии используют файлы cookie для отслеживания идентификатора сеанса. Таким образом, это безопасно, потому что вы на самом деле используете файлы cookie.
Следует отметить, что вы должны попытаться предотвратить session-hijacking - вы можете сделать это, проверив IP-адрес пользователя между прочим в вашем объекте $_SESSION.
Редактировать
Я предлагаю вам прочитать this. Цитата:
session_start() функция генерирует случайный Id и сохраняет Session его в куках на компьютере пользователя (это единственная сессия информации, которая на самом деле хранится на стороне клиента.) По умолчанию имя для cookie - PHPSESSID, хотя это может быть изменено в файлах конфигурации PHP на (большинство хостинговых компаний будет ). Чтобы ссылаться на идентификатор сеанса в вашем коде PHP , вы должны ссылаться на переменная $ PHPSESSID (это имя файла cookie ; помните, что из Cookies?)
Примечание: сохраняет его в печенье
Я использую session_regenerate_id() и я проверка агента пользователя при входе в систему и когда я проверяю я вижу только PHP идентификатор сеанса, который является тем, что мой сценарий однако при показе деталей я использую $ _SESSION ['userid']; правильно ли это сделать? –
что-то все/вы/мне нужно знать http://shiflett.org/articles/session-hijacking и http://shiflett.org/articles/storing-sessions-in-a-database: P доверять мне больше не больше информативный/полезный, чем те статьи –
@NullPointer Я не сохраняю user_agent в cookie, но в сеансе –