我有一个会话的 $ token 。
如何在不使用Cookie的情况下检查当前会话是否属于此令牌?
我尝试过这个:
$token = strip_tags($_GET['key']); // Here I obtain the token of a user
$session = new sfsession();
$session->setId($token);
$session->start();
在这一点上,我必须检查当前会话是否属于具有令牌$ token的会话。
答案 0 :(得分:0)
因此,如果包含密钥,您是否要测试跨浏览器的会话ID是否保持不变?
除了安全问题(例如会话劫持)之外,您无法直接测试会话令牌。
但是,您可以尝试在会话中设置另一个变量,最初生成您在URL中使用的密钥:
$session->set("securityToken", $token);
然后在着陆下载页面上,在使用您的问题中的代码开始会话后,您可以添加:
if ($session->get("securityToken") == $token) {
// user legit
}