我使用$_SESSION [‘name’]来处理页面之间的数据.我主要使用它来保持用户在页面之间登录.在每个页面中,我检查$_SESSION [logged_in’]是否为真.如果为true,请保持用户登录.否则,请执行其他操作.
这是我处理我的会话的方式 – 基本样本:
<?PHP
session_start();
if($_SESSION['logged_in'])
{
//show control panel list
}
else
{
//show login Box. Once user logs in. Once user logs in,
//fetch userID, username, etc from database. Also set
//$_SESSION['logged_in'] = true.
}
?>
SELECT * FROM User WHERE userID = $_SESSION['userID'];
我不确定用户是否可以访问$_SESSION [‘userID’].如果它可访问,则页面将处于威胁状态,因为用户可以手动更改用户ID并访问他/她希望的其他帐户.
我不太注重安全.请指教!我能做什么?
注意:我正在尝试使代码尽可能简单.目前,没有涉及oop.
解决方法:
这非常好,这里有一些其他的会话管理技巧:
>不接受来自GET / POST变量的会话标识符:
建议不要使用URL中的会话标识符(查询字符串,GET变量)或POST变量,因为它可以简化此攻击.在设置GET / POST变量的表单上很容易建立链接.
>在每个请求上重新生成SID:
在PHP中使用session_regenerate_id().每次用户的访问级别更改时,都必须重新生成会话标识符.这意味着虽然攻击者可能欺骗用户接受已知的SID,但是当攻击者试图重新使用SID时,SID将无效.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。