(我正在寻找一些关于php会话安全性的提示,但在我完全无知的情况下,我想念很多基本的东西。我正在做一个非常基本的网页游戏而无需登录,但我需要存储会话)
如果是安全存储$_SESSION['logged_in'] = TRUE; ...
然后,当所有玩家都知道其他用户ID时,将 userId 存储在 session_id ,例如session_id(userId),这样会不安全吗?如果没有,那有什么区别?
答案 0 :(得分:0)
这是安全的,不是。
但这取决于具体情况。当然,它与$ _COOKIE [' logged_in'] = true无关,这肯定是不安全的。
但以下情况也不安全
session_id($user_id);
$_SESSION['logged_in']=true;
因为session_id将存储在cookie中,这样你就可以伪造另一个user_id。
您必须记住,Session变量存储在服务器上,而cookie存储在浏览器中。因此,如果您将服务器视为自己的位置,那么只要您不能伪造您的身份Cookie来伪造您的会话,那么它就是安全的。