PHP 会话变量安全问题
问题陈述:
验证后将用户授权级别存储在 PHP 会话变量中是否安全登录凭据并对角色执行附加查询
答案:
虽然会话比 cookie 更安全,但它们仍然容易被盗。要降低此风险,请考虑采取以下措施:
IP 检查:
- 在登录期间跟踪用户的 IP 地址。
- 比较 IP后续请求期间的地址,以防止未经授权的会话访问。
- 请注意,由于动态 IP,此方法可能不可靠
随机数(使用一次的数字):
- 为每个页面请求生成唯一的令牌。
- 比较存储在会话变量中的随机数为当前页面生成的随机数。
- 这可以防止会话劫持确保请求源自用户的浏览器。
其他注意事项:
- 使用安全存储在服务器端会话存储中的会话 ID。
- 避免将用户凭据存储在会话变量中。
- 实施安全性检查每个脚本请求,即使不使用 cookie。
- 请注意,如果 cookie 被盗,结合 cookie 和 AJAX 可能会增加漏洞。
- 定期审查和更新会话管理实践,以解决潜在的问题安全威胁。
以上是在 PHP 会话变量中存储用户授权级别安全吗?的详细内容。更多信息请关注PHP中文网其他相关文章!