會話資料常會包含一些個人資訊和其它敏感資料。基於這個原因,會話資料的曝光是普遍關心的問題。一般來說,暴露的範圍不會很大,因為會話資料是保存在伺服器環境中的,而不是在資料庫或檔案系統中。因此,會話資料自然不會公開暴露。
使用SSL是一種特別有效的手段,它可以使資料在伺服器和客戶端之間傳送時暴露的可能性降到最低。這對於傳送敏感資料的應用來說非常重要。 SSL在HTTP之上提供了一個保護層,以使所有在HTTP請求和應答中的資料都得到了保護。
如果你在乎的是會話資料保存區本身的安全,你可以對會話資料進行加密,這樣沒有正確的金鑰就無法讀取它的內容。這在PHP中非常容易做到,你只要使用session_set_save_handler( )並寫上你自己的session加密儲存和解密讀取的處理函數即可。關於加密會話資料保存區的問題,請參閱附錄C。
以上是PHP安全-會話資料暴露的內容,更多相關內容請關注PHP中文網(www.php.cn)!