我正在编写一个应用程序,它在客户端上有JS,在服务器上有php,在服务器上打开会话,在“php脚本”中我通过从DB检索到的唯一ID识别每个用户并存储在{{ 1}}起初我认为这足以将用户数据从javascript发送到php,因为会话将处理标识问题,并且每个用户请求将由其自己的会话接收,因此没有用户会话将与另一个会话冲突。 。我对吗?或者我必须使用其他技术?
我是否必须将用户ID从js发送到php?或者它足以在php中声明?
我是否必须使用会话ID或其他内容?
答案 0 :(得分:2)
通过js发送用户ID会使您的涂药器不安全。有人可以成为任何人。 如果会话是由cookie设置的,那么在php端使用该会话就足够了。您不必通过js发送会话ID,因为它会被您的浏览器通过cookie自动发送。
答案 1 :(得分:1)
很明白,一旦在php脚本的开头调用了session_start(),你就可以访问$ _SESSION [“uID”]。如果您为用户提供了唯一的uID,则只需在php中使用它。此外,如果你使用uID从js到php进行一些调用,将会有一个巨大的安全漏洞,因为javascript很容易被干扰,并且“错误的”uID可以通过。所以是的,我会坚持你所说的和我的判决结果:是的,它足以在php中声明:)
答案 2 :(得分:0)
花一些时间阅读会议。
测试时会发生什么?
通常会话ID通过cookie传输。 Cookie应该在xmlhttp请求中发送到服务器。通过HTTP请求在浏览器上设置Cookie。
可以通过其他方式发送会话ID,并通过javascript设置会话cookie - 但是在了解基础知识之前,对此的解释不会有多大意义。
答案 3 :(得分:0)
Php让客户端将会话ID存储为cookie,并在每次请求时发送。但是,如果用户不保留cookie,会话将被取消。更糟糕的是,如果用户从不安全的位置登录,攻击者可能会获得他的会话ID,并且系统会错误地将其识别为受害者。
事实是,没有绝对的方法来识别客户。对于大多数情况,会话ID足够好,但如果您需要额外的安全层,请将帐户与IP检查和会话结合使用。