if($_POST['user'] == 'anita' && $_POST['pw'] == '123')
{
$_SESSION['username'] = $_POST['user'];
echo "Welcome, " . $user;
$loggedin = true;
}else
{
die('Log in details incorrect.');
}
if(isset($_SESSION['username']))
{
// Show website edit menu
}
我正在创建一个网站,我正在考虑为我的客户添加一个小型自制CMS,以便她自己更新网站。
这是保存某些人详细信息的安全方法吗?我可以检查$ _SESSION ['username']是否设置为验证用户是否已登录?
答案 0 :(得分:2)
会话文件通常完全保存在服务器上,用户唯一可以直接访问的是会话cookie。该cookie通常也只包含会话的ID而不是其他内容。
除非恶意用户通过其他方式访问会话存储系统(文件,数据库)以外的其他方式,否则他们无法更改会话中存储的任何内容。
答案 1 :(得分:1)
嗯,是的。 在服务器端设置会话非常安全,因为这意味着黑客必须访问服务器文件,或者在客户端代码中发现导致文件重写的非常可怕的错误。
只需做一些研究:会话固定以及如何防止它,并尝试在CMS端使用SSL。
答案 2 :(得分:0)
一般来说,会话是安全的。然而,很容易受到高压。 会话由会话ID唯一标识,会话ID存储在服务器上;这是您的服务器和计算机之间的唯一链接。 如果有人要获取此ID,则他们可以访问您的会话。
大流士