Я довольно новичок в PHP, и я использую $ _SESSION для хранения активных данных пользователя. Однако мне сказали несколько человек, что это небезопасно. Это правда?PHP Session Security
Я обычно хранят следующие данные в PHP сессии:
Если это небезопасно, какие существуют другие методы, которые являются безопасными?
Спасибо.
Они небезопасны в зависимости от типа хранилища.
Безопасный метод заключается в использовании пользовательских обработчиков сеансов (через session_set_save_handler) и хранения информации «где-то в безопасности» (т. Е. Не как файлы сеанса во всемирно читаемом каталоге /tmp).
Зависит. Если вы используете общий хостинг, а также используете обработчик сеанса по умолчанию, то может быть, кто-то еще может их прочитать. Это единственный риск, о котором я знаю. Тем не менее, общие хосты, которые настроены таким образом, лучше избегать, потому что тогда пользователи могут читать все остальное, что у вас есть, например, конфигурацию базы данных и, следовательно, украсть ваш db ...
Запуск VPS. – ritch
Посмотрите на http://php.net/manual/en/session.security.php и не забудьте следовать самой верхней ссылке. – etarion