我有点担心使用Phalcon提供的会话适配器。在文档中它说“此适配器存储普通文件中的会话”,这是否意味着它将会话数据存储在访问者计算机或应用程序主机上?
这种存储登录信息的方法是否安全?我应该使用默认的会话适配器,还是应该使用更多的东西来存储MySQL,REDIS,Memcache或Mongo中的会话......
答案 0 :(得分:1)
安全通常不是关于它是否存储在数据库中(因为数据库现在实际上比文件系统更容易进入)但是磁盘上的数据是否以安全的方式存储,即加密/散列。
默认适配器通常将会话存储在服务器/tmp或C:\temp中。
当然,99.99%的时间你不应该存储需要在会话中加密的极其敏感的信息,事实上在一些国家(英国),存储敏感信息就像是针对专业人士的ISO标准会话对象中的时间段。请记住,会议不是不透水的,它们可以是高压的,并且即使增加了安全防护装置也是如此。对于直接接触最终用户的东西,你可以采取的预防措施很多(请记住,PHP会将会话ID存储在cookie中,大多数恢复会话的验证都是基于cookie的。)
您应该尝试制作它,以便您的会话可以存储在Cookie中,因为这是一天结束时唯一大致安全的会话;如果公开看到它的数据并不重要。