Ist es sicher zu verwenden
%Vor%Kann jemand einfach gehen und ändern, wo die Sitzungsvariable gespeichert wird, um $ _SESSION ['autheticated'] = 'wahr' zu machen?
Das gleiche gilt für einen Benutzer, der $ _SESSION ['id'] = für seine Index-ID hat. Wie könnte ich diesen Sicherer machen? Könnte jemand einfach den ID-Wert ändern und sich als ein anderer Benutzer ausgeben?
Wäre die folgende Methode der richtige Weg, um etwas sicherer zu machen?
%Vor%und speichere das auch in einer Spalte in meiner Datenbank und jedes Mal würde ich
%Vor%Danke,
Ich bin ziemlich sicher, Session in den meisten Hosting ist nur eine Schnittstelle zu Ihrem Dateisystem, dh alle Session-Daten werden auf der Festplatte des Servers gespeichert, wenn Sie auf phpinfo()
output schauen, können Sie sehen, wo die tatsächlichen Pfad der Sitzungsdaten ist.
Abgesehen davon, dass Sie, wenn Sie Ihren Sitzungspfad zu 777 chmodieren und der Angreifer weiß, wo Sie Ihre App hosten und den Login haben, denke ich nicht, dass dies ein großes Problem ist.
Das größere Problem hier ist die Sicherung Ihres Cookies, da es die Information ist, die über Ihren Server und Ihren Client hin- und hergeht, die Angreifer benutzen können, um sich als legitime Benutzer auszugeben.
Ja, ist es sicher zu verwenden. Ich benutze das. Ich mache das: -check login, wenn es sich um eine gültige Anmeldung handelt, setze $ _SESSION ['logged'] = 'yes' und generiere um-Token $ _SESSION ['token'] = 'das Token' Dieses Token speichere ich in einem Eingabe-HTML-Element und checke jede Aktion ein. etwas wie:
%Vor%In process.php:
%Vor%