Я пытаюсь создать более безопасный скрипт входа PHP-сессий. К сожалению для этого проекта я буду работать с общим хостингом. Использует ли PHP функцию session_save_path() для изменения пути к чему-то, кроме /tmp, для безопасного решения? Или мне нужно сохранить сеансы в базе данных?Безопасность PHP-сессий: сохранение сеансов в БД и изменение сеанса сохранения пути?
Спасибо!
Перемещение пути сохранения сеанса - хорошее начало. Просто убедитесь, что его нет в корневом документе.
С помощью некоторых общедоступных хостов я заметил, что получение соединения с базой данных может занимать секунду или два. Хранение ваших сессий в db может замедлить работу всего приложения. Доступ к сеансу осуществляется дважды на каждую страницу.
Возможно, вам захочется протестировать как лучшее изображение, которое работает лучше.
Лично я предпочитаю хранить сеансы в базе данных, поскольку он не только обходит некоторые замедления доступа к файлам, связанные с использованием файловой системы, но также дает вам более прямые и контролируемые методы управления прямыми данными сеанса ,
Рассмотрите, если вы используете MySQL, используя Memory (HEAP) Storage Engine, так как это принесет огромные преимущества. Это, конечно, предполагает, что вы вряд ли будете иметь тысячи и тысячи активных сеансов и что ваши данные сеанса являются «неустойчивыми», то есть, если в результате сбоя в силе данные сеанса будут потеряны, худшее, что должно произойти, будет заключаться в том, что пользователям предлагается зайти в систему.