CakePhp将会话ID保存在cookie中,通常名为CAKEPHP的cookie包含会话ID 并且在任何其他php文件中都可以使用该id启动会话
session_id($_REQUEST['CAKEPHP']);
session_start();
我的问题是这是一种处理会话ID的安全方式,如果是,那么如果现在有什么更好的解决方案,它是如何安全的
答案 0 :(得分:0)
会话cookie仅对生成cookie /启动会话的同一域有效。
虽然另一个php页面可以接收该会话,但如果它在同一个域上提供,它仅才会收到cookie,在这种情况下它是“部分”你的网站。
这应该不是问题,因为(除非你有严重的问题)只有你才能将php文件添加/上传到你的网站。
你应该检查会话数据的保存位置。 app / Config / core.php中的默认“php”会话设置会将会话数据写入php.ini中配置的会话保存路径。这可能是“共享”目录,可由同一服务器上的其他网站访问。
为了更好的安全性,请将app / config / core.php中的会话配置设置为“cake”。这会将会话数据写入app / tmp / sessions,只能由您的网站访问。