我开发了一个php应用程序,用户在其中登录,一个单例“ controller”实例包含所有用户数据,例如其选项,权限等。该控制器存储在会话中,并且每个更改的页面都将始终相同。
现在,我并没有真正使用SID,因此,如果同一用户从另一台PC登录,他将能够同时打开两个会话,每个会话都有自己的SID和独立的控制器。
管理SID的标准方法是什么?我应该在数据库中将每个用户的“活动SID”附加到每个用户,并在每次更改页面时对其进行检查吗?
这样,如果他们从另一个会话登录,则第一个会话将出现“会话过期”错误。
如果这很重要,我正在使用安全的https https和SSSSID。
使用这种模式是否存在一些特殊的漏洞问题?
谢谢