将PHP会话存储在JS变量中?

时间:2012-07-08 12:43:09

标签: php security zend-framework

我必须通过发布请求(使用Flash Uploader)提交用户会话ID。 项目基于Zend Framework。

现在我不确定我的实施是否“安全”:

查看 

var session = "<?= Anon_SimpleCrypt::encrypt(Zend_Session::getId(), 'SOME_KEY'?>";

控制器: 

   $sessionId = $_POST['SESSION_ID'];
   $sessionId = Anon_SimpleCrypt::decrypt($sessionId, 'SOME_KEY'); 
   Zend_Session::setId($sessionId);

加密/解密: 

    public static function encrypt($value, $encryptionKey) 
    {
        $result = '';
        $encryptionKey = $encryptionKey . self::getSalt($value);

        for ($count = 0; $count < strlen($value); $count++) {
            $char = substr($value, $count, 1);
            $keychar = substr($encryptionKey, ($count % strlen($encryptionKey)) - 1, 1);
            $char = chr(ord($char) + ord($keychar));
            $result.=$char;
        }

        return base64_encode($result);
    }

    public static function decrypt($value, $encryptionKey) 
    {
        $result = '';
        $value = base64_decode($value);

        $encryptionKey = $encryptionKey . self::getSalt($value);

        for ($i = 0; $i < strlen($value); $i++) {
            $char = substr($value, $i, 1);
            $keychar = substr($encryptionKey, ($i % strlen($encryptionKey)) - 1, 1);
            $char = chr(ord($char) - ord($keychar));
            $result.=$char;
        }

        return $result;
    }

1 个答案:

答案 0 :(得分:0)

您无需加密会话ID。只需以纯文本发送即可。会话ID通常以未加密的形式存储在客户端的cookie中,这也不例外。此外,如果有人获得加密的会话ID,他们仍然可以使用会话,因为无论如何你在服务器上解密它。

相关问题
最新问题