безопасность сеанса для разных областей

Question

У меня есть сайт с двумя областями. Один для членов Gold, а другой для членов Silver. Я создаю две переменные сеанса, когда пользователь входит в систему; для каждой области требуется доступ к двум переменным сеанса.

Золото: сеанс ID_пользователь и сеансы золото

Серебро: сеанс идентификатор пользователь и сеанс серебро

это обеспечено ли? Что делать, если хакер крадет или меняет сеанс-серебро на сеанс-золото? Тогда они могли получить доступ к разным районам, не так ли?

Answer 1

Кто-то не может просто изменить PHP созданных сеансов, как банки печенье. подумайте об этом, куки передаются на их машины, сеансы хранятся на сервере и теряются при отключении. Вы должны быть уверены, что для того, чтобы дезинфицировать все входные данные, или можно запускать сеансы, можно управлять

Answer 2

Безопасность от хакеров - это гораздо БОЛЕЕ БОЛЬШОЙ области, чтобы покрыть, и это может быть очень сложно. Вы должны ВСЕГДА предполагать, что хакер может сломать ваш код и получить доступ.

Таким образом, я бы использовал базу данных, а не сеансы, чтобы определить пользовательские привилегии, и я бы не использовал простые значения сеанса, кроме зашифрованных. Возможно, вы можете сделать что-то вроде этого:

$_SESSION['user_level'] = sha1($userId . "session-silver"); 

, а затем сравнить соответствующий хэш каждый раз, когда вам это нужно. Помните, что безопасность через неясность не является безопасным подходом, поскольку хакер может украсть ваш исходный код.

ОТКАЗ: это предложение не предназначено быть бомбоубежищем, но, как маленькое, легкое улучшение текущего кода, не будучи слишком сложными для реализации быстро