在php中使用session var作为安全令牌吗?

时间:2015-09-04 15:38:22

标签: php security session

我想在用户编辑数据库内容时添加某种类型的安全令牌。 我想检查用户是否具有编辑权限,一旦确定,我希望在用户浏览编辑页面时让该标记跟随用户。我的想法是设置一个会话变量,然后继续引用该会话变量。但我的直觉告诉我,这个想法可能有些不对劲。 我想我可以继续在每个页面请求数据库中的信息。

1 个答案:

答案 0 :(得分:0)

是的,没关系。虽然你需要小心:

  • 使用TLS / SSL使用HTTPS加密会话标识符。
  • 在会话cookie上设置安全标记,以便它永远不会通过普通HTTP泄露。
  • 使用HSTS确保用户仅通过HTTPS连接到您的网站。
  • 在登录/注销时刷新会话令牌以防止会话固定。
  • 永远不要在URL中传输会话标识符,因为它很容易通过referer标头,历史记录和代理/服务器日志泄漏。

查看OWASP Session Management Cheat Sheet以便进一步阅读。