>用户名和密码以及唯一的令牌和会话标识符存在于数据库中
>如果上面的返回值为true,则设置会话变量$_SESSION [‘logged_in’] = true
>在每个页面(basecontroller)检查是否($_SESSION [‘logged_in’]> 0)否则重定向到登录页面.
是否有可能黑客可能以某种方式设置$_SESSION [‘logged_in’] = true; ?上述策略是否存在安全问题?
解决方法:
会话存储在服务器上,因此用户无法修改会话中的任何内容,除非他闯入您的服务器 – 在这种情况下,他显然可以运行$_SESSION [‘logged_in’] = true;或执行任何其他规避您的代码中的安全措施.
存储在客户端的唯一内容是会话ID cookie.这是一个随机的32个字符的哈希,不包含任何数据.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
